最近のインシデントでは、脅威アクターがApache ActiveMQサーバーの脆弱性(CVE-2023-46604)を悪用して、組織のネットワークへの初期アクセスを獲得しました。
最初の侵入後に排除されたにもかかわらず、18日後に同じサーバーへの再侵入に成功し、リモートデスクトッププロトコル(RDP)経由でLockBitランサムウェアを配布しました。
攻撃は2024年2月に、脅威アクターがCVE-2023-46604に脆弱なインターネット公開のApache ActiveMQサーバーをターゲットにしたことで開始しました。
彼らはこの脆弱性を悪用し、JavaSpringクラスの悪意あるXML設定ファイルを利用しました。このXMLには、リモートサーバーからペイロードをダウンロードするコマンドが含まれており、Windows CertUtilを使用してコンプロメイズされたサーバー上で実行されました。
ペイロードはMetasploitステージャーであることが判明し、攻撃者は権限昇格を行い、SYSTEMレベルのアクセスを獲得しました。
アクターは横方向移動を使用し、SMBトラフィックを利用してMetasploitペイロードを使用し、ネットワーク全体に拡散して複数のシステムをコンプロメイズしました。このフェーズ中に、彼らはLSASSプロセスのメモリにアクセスし、認証情報を収集しました。これらは次のステップにとって重要でした。
初期のコンプロメイズから18日後、脅威アクターは同じパッチが当たっていないApache ActiveMQサーバーを悪用するために戻ってきました。
ネットワークに戻ると、彼らは以前のアクションを繰り返しました:権限昇格、LSASSメモリへのアクセス、および横方向移動の実行です。
しかし、今回は、攻撃者は最初のラウンドで抽出された認証情報を使用して、バックアップサーバーとファイルサーバーを含む他のサーバーにRDP経由でログインしました。
攻撃者はAnyDeskリモートアクセスツールをインストールし、永続性のためにRDPを設定しました。RDPアクセスにより、ネットワーク全体の複数のホストにLockBitランサムウェアをドロップして実行しました。
LB3_pass.exeおよびLB3.exeとして識別されたランサムウェアファイルは、RDPセッション経由で対話的に実行されました。
興味深いことに、ランサムウェアの身代金要求メモは変更されており、通常のLockBit方法(Torリークサイトへの誘導)ではなく、Sessionメッセージングを使用するよう被害者に指示していました。
ランサムウェアはバックアップサーバーとファイルサーバーを含む様々なシステムに配布されました。
攻撃者は特定のフラグでランサムウェアを実行しました。これはおそらくSMB拡散メカニズムをトリガーするように設計されていました。ランサムウェアの実行によりネットワーク全体のファイルが暗号化され、影響を受けたシステムに身代金要求メモが残されました。
ランサムウェア配布のためのRDPの使用は、リモートアクセスのセキュアな管理の重要性を強調しています。RDPはランサムウェアの実行と拡散の主要なベクターとなりました。
約4時間のアクティビティの後、脅威アクターは活動を中止し、暗号化されたファイルと身代金要求の痕跡を残しました。
組織は、LockBitのようなランサムウェア攻撃のリスクを軽減するために、既知の脆弱性のパッチ適用、リモートアクセスのセキュアな管理、および横方向移動の兆候の監視を優先する必要があります。
攻撃者によるリークされたLockBitビルダーの使用は、ランサムウェア操作の進化する高度な状況をさらに示しており、広範な損害を防ぐための迅速な検出と対応の重要性を強調しています。
翻訳元: https://cyberpress.org/activemq-exploit-deploys-lockbit/