Palo Alto Networksの研究者が、Microsoft SharePointユーザーを標的としたキャンペーンにおけるランサムウェアの展開と悪意のあるバックドアについて詳述しています。
金銭目的の脅威アクターが、Microsoft SharePointのToolShell脆弱性に関連する一連の活動に関与していると、Palo Alto NetworksのUnit 42の研究者が火曜日に発表しました。
この脅威アクターは、ランサムウェアやAK47C2と呼ばれる悪意のあるバックドア、ローダーを含むカスタムツールセットを開発しています。
Microsoftは7月、金銭目的のアクターがSharePointの悪用に関与している3つ目の既知の組織であると発表しました。SharePointを標的とした脅威活動は当初、中国支援の国家系アクターであるLinen TyphoonとViolet Typhoonに関連付けられていました。しかし、Microsoftは金銭目的のアクターもStorm-2603という名称で追跡しています。
Unit 42の研究者によると、この金銭目的の脅威クラスター(CL-CRI-1040として追跡)は、過去にLockBit 3.0のアフィリエイトとの関連があり、最近ではWarlock Client Leaked Data Showというリークサイトを運営しています。
AK47またはX2ANYLOCKとして知られるランサムウェアの最初のバージョンは、4月にまでさかのぼります。このランサムウェアは複数のアプリケーションを終了させ、特定のファイルを暗号化し、身代金要求メモを残すことができます。
ただし、研究者たちは金銭目的の脅威活動と国家系ハッカーの間に何らかの協力関係がある可能性も認めています。
SharePointの悪用は、近年、米国が直面している最も深刻な脅威活動の一つとなっています。
米国の複数の連邦機関がこのハッキングキャンペーンの影響を受けており、エネルギー省、国土安全保障省、保健福祉省などが含まれます。
セキュリティ研究者は、世界中で少なくとも300件の侵害事例を確認していますが、標的となった組織の大多数は具体的な影響について公表していません。
翻訳元: https://www.cybersecuritydive.com/news/financially-motivated-cluster-toolshell-exploitation/757217/