Cortex
Next-Generation Firewall
Unit 42 Incident Response
Unit 42は最近、ランサムウェア攻撃を受けていた有名メーカーを支援しました。この攻撃は、BlackSuitランサムウェアを配布するグループであるIgnoble Scorpiusによって組織されたものです。本インシデントは、一見些細な問題(この場合は、漏洩した1組のVPN認証情報)が、いかに収益に多大な影響を及ぼす本格的な企業危機につながるかを例証するものです。
攻撃: 偵察とランサムウェアの組み合わせ
Ignoble Scorpiusの攻撃は、音声フィッシング(ビッシング)電話から始まっています。攻撃者は会社のITヘルプデスクになりすまし、従業員を騙してフィッシングサイトに正規のVPN認証情報を入力させました。
これらの認証情報を使って、脅威アクターは最初のネットワーク アクセスを獲得し、即座に特権をエスカレーションさせています。その後、DCSync攻撃を実行し、キー サービス アカウントを含む高度に特権化された認証情報を盗むことに成功しています。これらの侵害された認証情報を利用することで、次に攻撃者はRDPとSMBを介してネットワーク内で横方向に移動し、Advanced IP ScannerやSMBExecといったツールを用いてネットワークのマッピングを行い、高価値な標的を特定しています。
攻撃者は、ドメイン コントローラ上にAnyDeskとカスタムRATを展開し、再起動後も存続するようにスケジュールされたタスクとして構成することで、永続性を確立しました。注意すべき点は、脅威アクターは、AnyDeskのような正規の製品を悪意のある目的のために悪用し、その目的のために利用することが多いことです。弊社のこうした指摘は、正規品に欠陥があるとするものではありません。攻撃者はその後、2つ目のドメイン コントローラを侵害し、すべてのユーザー パスワード ハッシュを含むNTDS.ditデータベースを抽出し、名前を変更したrcloneユーティリティを使用して400GB以上のデータを流出させました。またその犯行の痕跡を消すため、脅威アクターは最後の一撃の前に、CCleanerをデプロイして科学捜査の証拠を消しています。BlackSuitランサムウェアは、Ansibleを通じて組織化され、約60台のVMware ESXiホスト上の数百台の仮想マシンを同時に暗号化し、インフラ全体のオペレーションを中断させています。
Unit 42の支援内容
Unit 42は、クライアントのCortex XDR配備を250から17,000以上のエンドポイントに拡大し、攻撃者の一挙手一投足を追跡するための全社的な可視性を提供することに成功しました。また、Cortex XSOARを活用して封じ込めアクションを自動化し、攻撃のさらなる拡散を食い止めています。
調査を通して攻撃経路の全容が明らかになったことで、以下のような重要な推奨事項が導き出されました。
- ネットワーク セキュリティ: 使用済みのCisco ASAファイアウォールを次世代ファイアウォール(NGFW)に置き換え、ネットワークのセグメンテーションを実装し、重要なシステム(DCやESXi ホストなど)への管理アクセスを専用の管理VLANに制限する。
- IDおよびアクセス管理: すべてのリモートアクセスにMFAを強制し、NTLMを無効にするかEPAを要求し、すべての認証情報をローテーションし、RDPのような対話型ログオンにサービスアカウントを使用しないように制限する。
- エンドポイントとサーバーの堅牢化: PetitPotam/DCSync攻撃を防止するためにRPCフィルタを使用してEFSRPCをブロックし、すべてのエンドポイントに完全なパッチを適用したXDRソリューションを導入して維持する。また使用済みシステムを削除するための厳格なポリシーを備える。
- ログと監視: 重要なソース(ESXi、ファイアウォール、Nasuni)のログ保持を90日以上に強化し、効果的な分析のためにログが適切に解析されるようにし、AWS CloudTrailのログ検証などの機能を有効にします。
成果
クライアントはいくつかの重要な成果を達成することができました。
- 金銭的な要求を拒否: 弊社は2,000万ドルの身代金要求を拒否することに成功し、クライアントが身代金を支払うことなく済むようにしました。
- 可視性の拡大: 弊社の参画により、顧客のエンドポイントの可視性は250から17,000以上に拡大し、将来のセキュリティ運用のための強固な基盤が構築されました。
- 戦略的ガイダンス: インシデント発生後にオーダーメイドの戦略的なガイダンスを提供し、クライアントの防御を強化し、今後の攻撃を防ぐ支援をしました。
- 継続的な監視: インシデント発生後、顧客は継続的なモニタリングのためにUnit 42 マネージド ディテクション&レスポンス(MDR)サービスを導入し、将来の脅威に対処するための準備を整えました。
重要なポイント
本攻撃は、侵害されたクレデンシャルが1つでもあれば、ドミノ効果を引き起こし、壊滅的なセキュリティ侵害につながる可能性があることを私たちに教えてくれる事例そのものです。Ignoble Scorpiusのような脅威アクターの迅速かつ洗練された手口は、プロアクティブかつ多層的な防御戦略の重要な必要性を示しています。
すべてのリモート アクセス ポイントにMFAを実装し、強固なエンドポイントの可視化、自動封じ込め、専門家によるガイダンスを統合することで、企業は進行中の攻撃を阻止するだけでなく、将来のインシデントを防ぐために防御を強化することができます。最も重要なことは、プロアクティブなセキュリティ評価への投資が、本格的なランサムウェア攻撃による運用コストや財務的影響をはるかに上回る配当をもたらすことを示していることです。
最新の攻撃トレンドについてご関心がある場合は、弊社刊行物である2025 Unit 42 グローバル インシデント レスポンス レポートをご確認ください。この報告書は、38ヶ国にまたがる500を超える組織で実際に発生したサイバー攻撃に対応した当社の直接的な経験に基づき、最も重要な発見を抽出したものです。
その他の資料
UNIT 42について
Unit 42は最新脅威に先手を打ちビジネスを保護するために必要なツールと専門知識を活かしてセキュリティ チームを支えます。実績ある戦略と数千件の業務契約に基づく深い理解により、非常に困難な事態にも自信を持って対処できるよう支援を行います。
Insights
Unit 42 からの最新情報を取得 