Cactusランサムウェアがスペイン自動車部品メーカーを攻撃した | Fortinet VPNも標的
脅威インテリジェンスサービスCognyteは、ダークウェブやTelegram、SNSなどから膨大な情報を収集し、情報漏洩や脅威アクターの活動を検知することによって、組織のサイバー・リスクを軽減させるサービスです。
Cognyte CTI Research Group@Cognyte | 2023年12月
今月、Cactusランサムウェア・グループがダークウェブ上のリークサイトにCIEオートモーティブに関するページを公開しました。CIEオートモーティブはスペインの自動車関連企業であり、エンジン部品やギアボックス、トランスミッション、シャーシ、内外装トリム、ルーフシステム等を製造しています。
本レポートでは、Fortinet VPN既知の脆弱性もターゲットにするCactusランサムウェアについて解説します。
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
Cactusランサムウェアとは
このランサムウェア・グループは攻撃した企業のネットワークから窃取したドキュメントのスクリーンショットを証拠として公開、また「証拠パッケージ」としてダウンロード・リンクを提供しました。
このパッケージには、NDA、秘密保持契約書、従業員のパスポート・スキャン、投資要望等が含まれています。
Cactusランサムウェアのスクリーンショット 出典:Cactusリークサイト
Cactusの戦術
Cactusランサムウェアの攻撃パターン 出典:当社にて作成
Cactusランサムウェアは2023年3月頃から活動する比較的新しいランサムウェアです。このグループは一般的な「二重恐喝」手法を採用しており、ファイル暗号化とデータ窃取を組み合わせて被害組織に対し身代金の支払いを要求します。
イニシャル・アクセス
CactusグループはFortinet VPN機器の脆弱性を悪用しイニシャル・アクセスを試みると考えられています。また2023年11月には、ビジネスインテリジェンス・プラットフォームQilk Senseの脆弱性を悪用していることが判明しました。
| CVE-2023-41265 | HTTPリクエスト・トンネリングの脆弱性 |
| CVE-2023-41266 | パストラバーサル脆弱性 |
| CVE-2023-48365 | 認証不要のリモートコード実行脆弱性 |
2023年12月には、被害組織に対しマルバタイジングを用いてDanabotマルウェアに感染させた後、Cactusランサムウェアを配送していることが判明しました。
侵害から特権昇格まで
攻撃者は、被害組織のネットワークを侵害後、SSHバックドアを設置し、タスクスケジュールを利用しC2サーバーと通信を行っています。
その他、このランサムウェア・グループは以下のようなTTPを採用しています。
- ネットワーク偵察とターゲット発見のためにSoftPerfect Network Scannerを利用
- エンドポイント数え上げ(Enumeration)にPowerShellを利用し
- ユーザーアカウントを特定するためにWindowsセキュリティイベント4624(「アカウントが正常にログオンしました。」)を確認
- PowerShellの結果をホストマシンにテキストファイルで保存し、後でランサムウェア実行に利用
- nmapに相当するPowerShellツールであるPSnmap.ps1を利用しネットワーク内のエンドポイントを特定
- リモートアクセスに正当なツールを利用し、ネットワーク内に持続性を確立
- Cobalt StrikeおよびChiselによるC2通信(Chiselは、追加のスクリプト、ツールの配送にも利用)
攻撃者はネットワークに侵入後、ラテラルムーブメントを行います。このために、ユーザーのWebブラウザおよびLSASSからクレデンシャルをダンプした後、リモートのエンドポイントに対し特権アカウントを作成します。また、ハードディスク内を手動で検索し、パスワードを含むファイルを特定した形跡も残っています。
特権アカウントを取得した後、バッチスクリプトを実行しアンチウイルス製品を削除します。また、ラテラル・ムーブメントにはRDPやRMMを利用します。
ファイルの抽出と暗号化
攻撃者はRclone等のツールを利用し、暗号化されたネットワーク経由でファイルを窃取し、クラウドストレージに転送します。
データ抽出後、攻撃者はファイルの暗号化を行います。
PsExecコマンドによって自動的に暗号化を行うスクリプトTotalExec.ps1を利用します。暗号化バイナリ自体も検知を回避するため暗号化されており、、復号の際はスケジュールタスクを通じてntuser.datファイル(ランダムな文字列内に鍵が含まれている)を読み込みます。
暗号化されたファイルには.ctsX(Xには数字が入る)の拡張子が付与されます。
また、身代金交渉のための連絡先を記載したランサムノートcAcTuS.readme.txtが作成されます。
推奨策
Cognyteは、以下のセキュリティ対策を推奨します。
- Fortinet VPN製品のアップデート
- 次に示すIoCのセキュリティツールへの組み込み
- 各システムやアプリ、セキュリティツールの最新版へのアップデート
IoC
| 型 | 値 |
| MD5 | e28db6a65da2ebcf304873c9a5ed086d |
| SHA-1 | cb570234349507a204c558fc8c4ecf713e2c0ac3 |
| SHA-256 | 78c16de9fc07f1d0375a093903f86583a4e32037a7da8aa2f90ecb15c4862c17 |
| MD5 | 5737cb3a9a6d22e957cf747986eeb1b3 |
| SHA-1 | 11a93a6c270d6d189fa857f03a001b347a679654 |
| SHA-256 | 9ec6d3bc07743d96b723174379620dd56c167c58a1e04dbfb7a392319647441a |
| MD5 | 949d9523269604db26065f002feef9ae |
| SHA-1 | 3b8ae803f281ab7fc93577b79562bd7819e068bd |
| SHA-256 | d7429c7ecea552403d8e9b420578f954f5bf5407996afaa36db723a0c070c4de |
| MD5 | eba1596272ff695a1219b1380468293a |
| SHA-1 | 00086dd2271c0de3d1ec5bb70fada4d84bf522e0 |
| SHA-256 | 509a533ade43406eb50fa9cb8984b2e10d008ad0ea8c22d0652f3ee101125bb7 |
| MD5 | 1add9766eb649496bc2fa516902a5965 |
| SHA-1 | 48d1971ec7b17adaa8189089a97503afa705ae14 |
| SHA-256 | 0933f23c466188e0a7c6fab661bdb8487cf7028c5cec557efb75fde9879a6af8 |
| MD5 | 2611833c12aa97d3b14d2ed541df06b2 |
| SHA-1 | c9f3de8b5457c040d507a4abd4d6439766d3a0a0 |
| SHA-256 | 69b6b447ce63c98acc9569fdcc3780ced1e22ebd50c5cad9ee1ea7a4d42e62cc |
参考ソース
- https://www.bleepingcomputer.com/news/security/new-cactus-ransomware-encrypts-itself-to-evade-antivirus/
- https://www.kroll.com/en/insights/publications/cyber/cactus-ransomware-prickly-new-variant-evades-detection
- https://thehackernews.com/2023/11/cactus-ransomware-exploits-qlik-sense.html
- https://securityaffairs.com/155184/cyber-crime/danabot-spread-cactus-ransomware.html
- https://www.manageengine.com/products/active-directory-audit/kb/windows-security-log-event-id-4624.html
記事に関するご意見・お問い合わせはこちらへお寄せください。
(SOMPOホールディングス、損害保険ジャパンなどグループ各社へのお問い合わせはご遠慮下さい)
