脅威の調査

サイバー攻撃グループ「DragonForce」、MSP とその顧客を攻撃するために SimpleHelp の脆弱性を狙う

ランサムウェア攻撃者が RMM を攻撃し複数の組織にアクセスしていますが、Sophos EDR は顧客のネットワークでの暗号化をブロックしました。
作成者 , , ,
2025、 5月 27
Security Operations Threat Research dragonforce MSP SimpleHelp Sophos MDR インシデント対応 サプライチェーン攻撃 セキュリティの運用 特集 脅威の調査

** 本記事は、DragonForce actors target SimpleHelp vulnerabilities to attack MSP, customers の翻訳です。最新の情報は英語記事をご覧ください。**

Sophos MDR は最近、マネージドサービスプロバイダ (MSP) を狙った標的型攻撃に対応しました。このインシデントでは、サイバー攻撃者が MSP が使用しているリモート監視・管理 (RMM) ツール「SimpleHelp」にアクセスし、このツールから複数のエンドポイントにDragonForceランサムウェアを展開しました。この攻撃者は機密データも流出させており、二重恐喝の戦術を駆使して、被害者に身代金の支払いを強要しています。

Sophos MDR は、このサイバー攻撃者が 2025 年 1 月にリリースされた一連の脆弱性を悪用したと考えています。

  • CVE-2024-57727:複数のパストラバーサルの脆弱性
  • CVE-2024-57728:任意のファイルアップロードの脆弱性
  • CVE-2024-57726:権限昇格の脆弱性

DragonForce

<pDragonForce は、2023 年半ばに登場した高度な技術力と競争力のある RaaS (サービスとしてのランサムウェア) を展開しているサイバー攻撃グループです。ソフォスの Counter Threat Unit (CTU) の最近の調査でも取り上げられているように、DragonForce は 3 月に「カルテル」としてグループを再構築しており、複数のサイバー犯罪者 (アフィリエイト) がランサムウェア攻撃のためのプラットフォームに参加して提携する取り組みを始めています。

DragonForce は最近、さらに多くのアフィリエイトを取り込むために、RansomHub のインフラを「乗っ取る」と主張しており、このランサムウェアグループ界隈で注目を集めています。また、以前 RansomHub のアフィリエイトだった Scattered Spider (UNC3944) などの有名なランサムウェアアフィリエイトが、英国と米国の複数の大手小売チェーンを標的とした攻撃で DragonForce のプラットフォームを使用しているとの報告もあります。

インシデント

Sophos MDR は、SimpleHelp のインストーラファイルの不審なインストールを検知して、このインシデントを警告しました。このインストーラは、MSP が顧客向けにホスティングして運用している、正規の SimpleHelp RMM インスタンスからプッシュされていました。この攻撃者はまた、MSP の RMM インスタンスを通じてアクセスし、デバイス名と設定、ユーザー、ネットワーク接続を収集するなど、MSP が管理する複数の顧客のシステム環境に関する情報を収集しました。

この MSP のある顧客は、Sophos MDR に登録しており、Sophos XDR エンドポイントプロテクションを導入していました。ソフォスのエンドポイントプロテクションと MDR によるマルウェアの検知とブロック機能の組み合わせにより、攻撃者によるネットワークへのアクセスを遮断し、その顧客のネットワークにおけるランサムウェアと二重恐喝を阻止しました。しかし、Sophos MDR を使用していない MSP とその顧客は、ランサムウェアとデータ流出の両方の影響を受けました。この MSP は、デジタルフォレンジックおよびインシデント対応を提供するために Sophos Rapid Response を利用しました。

この調査に関連する侵害の指標は、ソフォスの GitHub から入手できます。

Bio photo of Anthony Bradshaw
著者について

Anthony is responsible for the global MDR incident response team at Sophos. He leads a team of highly skilled incident responders who investigate, contain, and neutralize attacks. Anthony has a decade of experience in IT and cybersecurity, and holds multiple industry certifications including GSOM, GCFE, and CySA+.

Bio photo of Hunter Neal
著者について

Hunter Neal is a Senior Incident Response Lead for Sophos MDR. Prior to joining Sophos, he was a system administrator for Textron Aviation. Hunter's cybersecurity journey began in college, at The Pennsylvania State University, where he holds a Bachelor's degree in both Information Systems and Cybersecurity, as well as a GCFE certification. In his spare time he enjoys Disc Golf, lifting weights, toying with his cars, and video games.

Morgan Demboski, Sophos X-Ops (MDR)
著者について

Morgan is a Threat Intelligence Analyst for the Sophos Managed Detection and Response (MDR) team, where her focuses include tactical cyber intelligence, data enrichment, and monitoring emerging threats. With a Masters in Intelligence and Security Studies, her areas of interest span beyond the cyber realm to include geopolitics and international security. In past roles, Morgan worked in the Network Detection and Response (NDR) space, where she focused on tracking attack patterns, analyzing command-and-control infrastructure, and threat research reporting.

Sean Gallagher
著者について

Sean Gallagher is Principal Threat Researcher, Sophos X-Ops. Prior to joining Sophos, he was an information security and technology journalist for over 30 years, including 10 as information security and national security editor for Ars Technica.

関連記事を読む