コンテンツにスキップするには Enter キーを押してください

ConnectWiseのリモート監視および管理(RMM)ツールの脆弱性を悪用し、LockBitランサムウェアが展開される

投稿日 2024年2月24日

サイバー攻撃者が、今週明らかにされたConnectWiseのリモート監視および管理(RMM)ツールの重大な脆弱性を悪用し、LockBitランサムウェアを展開していることが報告されました。これは、最近の国際的な法執行機関の作戦の対象となったLockBitランサムウェアです。

この情報は、今週のサイバーセキュリティ分野でより重要なニュースストーリーの2つを統合しています。

サイバーセキュリティベンダーであるSophosとHuntressの研究者は、ConnectWiseのScreenConnectリモートデスクトップアクセスツールの2つの欠陥が公表された後(GitHubに投稿された概念実証(PoC)コードを含む)、サイバー犯罪者が未修正のScreenConnectサーバーを見つける努力を強化していると述べています。

Sophos X-Ops脅威インテリジェンスユニットの主任研究員であるAndrew Brandtと、シニア脅威研究員のAngela Gunnは、ScreenConnectに関連するセキュリティイベントの数が2月21日以降倍増したと報告しています。これは、ConnetWiseが脆弱性に関する警告を公表した2日後のことです。

ScreenConnectは、IT技術専門家がデスクトップやモバイルデバイスのサポート問題にリモートで対応するために使用されます。

ConnectWiseの当局者は当初、攻撃者が欠陥を悪用している例を見ていないと述べましたが、1日後には、不審な活動の通知を調査し確認したと報告し、攻撃者が使用した3つのIPアドレスを公開しました。

ScreenConnectの2つの脆弱性には、攻撃者がシステムや機密情報にアクセスできるようにする認証バイパスの欠陥(CVE-2024-1709、最高重大度評価10)と、悪意のあるアクターがリモートコードを実行したり、機密データや重要システムに直接影響を与える可能性のあるパストラバーサルの欠陥(CVE-2024-1708、重大度評価8.4)が含まれます。

RMMツールに対するハッカーの関心を考えると、単一の会社を攻撃して複数の顧客にアクセスできるため、ScreenConnectの脆弱性がこれほど注目を集めているのは驚くべきことではありません。2021年にREvilグループがKaseyaのVirtual System Administrator(VSA)RMMソフトウェアを標的とした攻撃は、1,000社以上の管理サービスプロバイダー(MSP)と顧客にダウンタイムの問題を引き起こしました。

LockBitの登場

ハッカーは現在、LockBitを使ってScreenConnectを狙っています。Sophosは、少なくとも1人の悪意のあるアクターが、2月22日から30以上の顧客ネットワークで見つかったものと同一のペイロードを持つランサムウェア実行可能ファイルを展開していると述べています。これは、「脅威アクターが侵害されたサーバーからペイロードをプッシュしていることを強く示唆する配布パターン」です。

攻撃者は、今週の攻撃のためにLockBit 3ランサムウェアビルダーツールを使用して実行可能ファイルを構築しました。LockBit 3ツールは2022年にリークされたため、この最新のサンプルは元のLockBit開発者からのものではなく、コピーキャットビルドである可能性があります。

「しかし、ランサムウェアは自らをLockBitと呼ばず、」ランサムノートは「buhtiRansom」と言及しており、SophosはこれをbuhtiRansom LockBitバリアントと呼んでいます。

異なる攻撃者は、異なるペイロードをドロップしました。これにはランサムノートが含まれ、デスクトップの背景を「LockBit Black」と言及するものに変更しました。

他の攻撃では、AsyncRATリモートアクセストロイの木馬やVidar/Redline情報窃盗ツールなどのマルウェアがドロップされました。

Huntressの関係者も、健康

クリニックや地方政府を含むさまざまな業界の顧客システムでLockBitランサムウェアが展開されていることを検出したとメディアに語りました。

法執行機関対LockBit

ConnectWiseの脆弱性を利用したLockBitランサムウェアの展開は、米国、英国、その他の国々の法執行機関が、サービスとしてのランサムウェア(RaaS)グループであるこの多作なグループが使用していた公開ウェブページとインフラを押収した後に行われました。米国司法省は、このグループが2020年1月以降、米国と世界中で2,000回以上の攻撃を実行し、1億4400万ドル以上の身代金を集めたと述べています。

当局はまた、暗号化されたデータへのアクセスを一部の被害者に再び可能にするための復号化キーを収集・開発し、製造業や半導体などの分野の企業に対してLockBitランサムウェアを展開したとされる2人のロシア国籍者を逮捕しました。

引用元URL

https://securityboulevard.com/2024/02/hackers-exploit-connectwise-bugs-to-deploy-lockbit-ransomware/

Published in News and securityboulevard.com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です