新たに発見された露出したサーバーは、TheGentlemen ランサムウェアグループの運用に関する重大な洞察を明らかにし、実際のサイバー攻撃で使用される完全なツールキットを露出させました。
セキュリティ研究者は、防弾ホスティングプロバイダーでホストされているオープンディレクトリを特定しました。このディレクトリには、悪意のあるツール、スクリプト、盗まれたデータの構造化されたコレクションが含まれていました。
典型的なマルウェア漏洩とは異なり、これはランダムなダンプではありませんでした。サーバーは120以上のファイルをホストし、複数のフォルダに整理され、偵察から最終的な展開まで、ランサムウェア攻撃のあらゆる段階をカバーしていました。
この発見は、ツールキットが被害者に対して積極的に使用されていたことを確認しており、認証情報ログと運用データが含まれていました。
最も懸念される発見の1つは、盗まれたユーザー名とNTLMパスワードハッシュを含むMimikatz出力ログの存在でした。
これらのログは、攻撃者が既に実際のシステムを侵害し、機密認証情報を収集していたことを証明しています。このタイプのアクセスにより、脅威アクターはネットワーク全体で横展開し、特権をエスカレートできます。
流出したツールキットは、高度な洗練度と自動化を示しています。ネットワークスキャン、特権エスカレーション、防御回避、永続性のためのツールが含まれています。
研究者は、ツールキットが複数のMITRE ATT&CK技術に合致していることを指摘し、完全なランサムウェア攻撃ライフサイクルを示していました。
主要なコンポーネントは、ランサムウェアの展開前にシステムを準備する強力なバッチスクリプトです。
このスクリプトは、複数のベンダーのセキュリティソフトウェアを無効にし、システムバックアップを削除し、リモートアクセスを有効にし、イベントログをクリアして証拠を削除します。
また、オープンネットワークシェアを作成し、ランサムウェアが侵害された環境全体に迅速に広がることを可能にします。
さらに、ツールキットには、攻撃者が隠された遠隔アクセストンネルを作成するために使用できる露出したNgrok認証トークンが含まれています。
これらのhunt.ioトンネルはファイアウォールをバイパスし、攻撃者が感染したシステムの制御を維持できるようにします。複数のトークンの存在は、複数のオペレータまたは冗長なアクセス方法のいずれかを示唆しています。
インフラストラクチャの選択も注目すべきです。サーバーは以前に他のマルウェアキャンペーンに関連していたプロバイダーでホストされており、ランサムウェア・アズ・ア・サービス(RaaS)の運用をサポートするより広いエコシステムを示唆しています。
全体的に、この露出は、現代のランサムウェアグループがどのように動作するかについてのまれな可視性を提供します。
露出したサーバーの保護、認証情報漏洩の監視、疑わしい管理活動の早期検出の重要性を強調しています。攻撃者が継続的に技術を改善する中、このような発見はサイバー防御戦略を改善するための重要な要素であり続けています。
翻訳元: https://cyberpress.org/exposed-server-leaks-toolkit/