2025年のクリスマス休暇期間中、Adobe ColdFusionサーバーを狙った協調的な悪用キャンペーンが展開され、脅威アクターは複数の脆弱性クラスにわたり250万件を超える悪意あるリクエストを送信しました。
GreyNoiseによるセキュリティ調査は明らかにし、CTG Server Limitedのインフラを介して活動する日本拠点の単一の脅威アクターが、休暇期間を狙った標的型攻撃を実行したことが判明しました。トラフィックの68%は、通常セキュリティ監視が手薄になりがちなクリスマス当日に集中していました。
この攻撃キャンペーンは、意図的な運用戦略を示しています。2つの主要IPアドレス(134.122.136.119および134.122.136.96)が、2023年から2024年に公開された10件以上のColdFusionのCVEを標的として5,940件のリクエストを生成しました。
脅威アクターは、アウト・オブ・バンドのテストツールであるInteractshを利用し、190の異なるコールバックドメインを通じて悪用の成功を検証しました。
このインフラにより攻撃者は、ペイロードが20か国にわたるColdFusionのインストール環境を正常に侵害したことを確認でき、米国の標的から発生したセッションは4,044件に上りました。
主な攻撃ベクトルは、WDDXのデシリアライゼーションを介したJNDI/LDAPインジェクションで、観測されたペイロードの80%を占めました。
攻撃者はcom.sun.rowset.JdbcRowSetImplのガジェットチェーンを用いてInteractshドメインに対するJNDIルックアップを発生させ、脆弱なColdFusionインスタンス上でリモートコード実行を可能にしました。
分析の結果、このColdFusionキャンペーンは、はるかに大規模な偵察オペレーション全体のうち0.2%に過ぎないことが明らかになりました。
同じ2つの主要アクターは、Javaアプリケーションサーバー、CMSプラットフォーム、ネットワーク機器、エンタープライズアプリケーションを含む47の技術スタックにまたがり、767件の異なるCVEを標的として、合計約250万件のリクエストを生成しました。
これは、攻撃者が初期アクセスブローカーとして活動し、下流の脅威アクターへの販売を見据えて脆弱なインフラを体系的に特定していることを示唆します。
インフラ分析からは懸念すべきパターンが明らかになっています。AS152194を運用する香港登録のプロバイダーであるCTG Server Limitedには、悪用との関連が記録されています。
Silent Pushの調査では、このASNがChanelやLVMHなどの高級ブランドを標的とするフィッシングドメインをホスティングするネットワークとして最多であることが特定されました。
BGP分析では、このプロバイダーがbogonルートをアナウンスしていることが示されており、ネットワーク衛生基準の不備を示唆しています。
Adobe ColdFusionを運用する組織は、特定されたすべてのCVEを直ちにパッチ適用し、既知のInteractshドメインに対するネットワークベースの検知を実装するとともに、特定された脅威アクターのIPアドレスからのトラフィックを遮断すべきです。
このキャンペーンが休暇期間を狙って実施されたことは、カレンダーの予定にかかわらずセキュリティ運用の継続性を維持する重要性を浮き彫りにしています。
翻訳元: https://cyberpress.org/maliciouscoldfusion-servers/