ランサムウェア「Conti」プログラムの不満を持つメンバーが、ハッキングされた企業の内部にアクセスし、横方向に移動し、アクセスをエスカレートさせ、ファイルを暗号化する前にデータを流出させる方法をアフィリエイトメンバーに教育するためにContiギャングが使用したマニュアルと技術ガイドをリークしました。
このファイルは、XSSと呼ばれる地下のサイバー犯罪フォーラムでリークされたもので、Contiギャングが企業ネットワークに侵入するために支払っていた低額の報酬に問題があったと思われる個人によって共有されました。
この人物は、フォーラム全体に流されたメッセージの中で、ContiグループがCobalt Strikeコマンド&コントロール・サーバーをホストしているIPアドレスのスクリーンショットを共有していました。Cobalt Strikeコマンド&コントロール・サーバーは、Contiのアフィリエイトメンバーがハッキングされた企業ネットワークにアクセスするために使用します。
さらに、この人物は「Мануали для работяг и софт.rar」という名前のRARアーカイブも公開していました。これを大まかに訳すと「仕事中毒者とソフトウェアのためのマニュアル」となります。
このアーカイブには、ネットワーク侵入時に様々なハッキングツールや正規のソフトウェアまで使用する方法が書かれた37のテキストファイルが含まれています。
例えば、流出したマニュアルには、以下のようなガイドが含まれています。
- Rcloneソフトウェアをデータ流出用のMEGAアカウントで構成する。
- AnyDeskソフトウェアを被害者のネットワークへのパーシステンスおよびリモートアクセスソリューションとして設定する(Contiの既知の手口)。
- Cobalt Strike エージェントの設定と使用
- NetScanツールを使った内部ネットワークのスキャン
- ペンテストフレームワーク「Metasploit」を仮想プライベートサーバ(VPS)にインストールする。
- Ngrokのセキュアトンネルを使用してRDPでハッキングされたネットワークに接続する
- ハッキングされた企業のネットワーク内で昇格し、管理者権限を得る
- ドメインコントローラを乗っ取る
- Active Directoryからパスワードをダンプする(NTDS dumping)
- SMBブルートフォースアタックの実行
- ルーター、NASデバイス、セキュリティカメラをブルートフォースする
- ZeroLogon exploitを使用する
- Kerberoasting攻撃を行う
- Windows Defenderの保護機能を無効にする
- シャドーボリュームコピーの削除
- アフィリエイターが自分のOSで匿名ネットワーク「Tor」を利用できるように設定する方法、など。
Ransomware-as-a-Service(RaaS)の運営会社からの流出は極めて稀ですが、公開されたデータは、セキュリティ研究者が画期的だと評するようなものではありません。
今回流出したファイルには、Conti社をはじめとするランサムウェアギャングが何年にもわたって過去の侵入時に使用してきた基本的な攻撃戦術や技術のガイドが含まれています。
しかし、今回の流出により、一部のセキュリティ企業は、Contiの侵入を検知する能力を向上させるために、より強力な防御プレイブックをまとめて顧客に勧めることができるでしょう。