SonicWall SSL VPNの脆弱性(CVE-2024-40766)を狙ったFogおよびAkiraランサムウェア攻撃の増加

Arctic Wolf Labsは、2024年8月以降SonicWall(ソニック ウォール)のSSL VPNの脆弱性(CVE-2024-40766)を利用した不正アクセスからFogおよびAkiraランサムウェア攻撃が急増していることを報告しました。

サイバー攻撃の概要

2024年8月以降、特にSonicWallの製品をターゲットとしたFogおよびAkiraランサムウェアの活動が急増しました。75％の攻撃でAkiraが使用され、25％ではFogが展開されています。攻撃者はSSL VPN経由でのアクセス後、即座にネットワーク内の暗号化プロセスに移行するため、迅速な対応が難しい状況になっています。

Arctic Wolf の新しいレポートでは、 Akiraと Fog ランサムウェア攻撃が少なくとも 30 件の侵入を実行しており、そのすべてが SonicWall VPN アカウントを介したネットワークへのリモート アクセスから始まったと警告しています。

これらのケースのうち、75% は Akira に関連しており、残りは Fog ランサムウェア攻撃によるものとされています。

興味深いことに、2 つの脅威グループはインフラストラクチャを共有しているようで、これはSophos が以前に文書化したように、両者間の非公式な協力関係が継続していることを示しています。

侵入の手法

• SSL VPNアカウントの不正利用: 攻撃者はホスティング関連のIPアドレスからSonicWall SSL VPNにログインし、ネットワークへのアクセスを確保。侵害された SSL VPN アカウントは多要素認証を有効にしておらず、サービスをデフォルト ポート 4433 で実行していたようだと指摘しています。
• CVE-2024-40766の脆弱性: SonicWall機器において、脆弱性の存在が報告されていますが、Arctic Wolfは明確なエクスプロイトを確認できていません。攻撃者は、脆弱な機器を標的にして、VPN経由でログインを実行しています。

攻撃者の行動とツール

攻撃者は、次のようなツールを活用して情報収集、 lateral movement（横展開）、および暗号化を実施し攻撃者は、特に仮想マシンやそのバックアップを重点的に暗号化し、業務の中断を狙います。

• Mimikatz: 認証情報の取得
• PsExec: リモートコマンド実行
• AnyDeskやMobaXterm: 継続的なリモートアクセス
• Rclone: データのクラウドへの転送