カクタスランサムウェアの検出: 攻撃者がランサムウェアの亜種を拡散するための標的型攻撃を開始

注目！最近のCactusランサムウェア攻撃が話題になっています。ハッカーは重大なQlik Senseの脆弱性を利用してCactusランサムウェアをさらに配信しています。他のランサムウェアキャンペーンでは、マルバタイジングを駆使して DanaBotマルウェア を使った初期アクセスを侵害されたシステムに達成しています。

Cactusランサムウェア感染の検出

ランサムウェアオペレーターは、ペイロード配信を進め、被害者を増やし、さらなる金銭的利益を得るために常に新しい方法を模索しています。サイバーセキュリティ専門家は、敵を出し抜くために、開発の初期段階での侵入を早期に特定し、積極的に防御するための信頼できる検出コンテンツが必要です。

Cactusランサムウェア攻撃の検出を支援するために、集団的サイバー防御のためのSOC Primeプラットフォームが精選された検出コンテンツのセットを集約しています。

msiexecを使用したSophosのGUID経由でのアンインストールによる可能性のあるCactusランサムウェアキャンペーン（プロセス作成経由）

当社の鋭敏なスレットバウンティ開発者である Nattatorn Chuensangarun が作成したこのルールは、msiexecコマンドを使用してGUID経由でSophosをアンインストールすることによる疑わしいCactusランサムウェアキャンペーン活動を検出します。この検出は、24のSIEM、EDR、XDR、およびデータレイクソリューションと互換性があり、 MITRE ATT&CKフレームワーク にマッピングされ、防御回避戦術とシステムバイナリプロキシ実行（T1218）を主要技術として扱っています。

Qlinkスケジューラーの疑わしいプロセスを生成する（プロセス作成経由）

SOC Primeチームが作成したこの検出ルールは、QLinkスケジューラーによる疑わしいプロセス生成を特定し、成功した脆弱性の悪用を示す可能性があります。このルールは24のネイティブSIEM、EDR、XDR、およびデータレイクフォーマットへの翻訳を伴い、MITRE ATT&CKへマッピングされ、初期アクセス戦術と公開アプリケーションの脆弱性の悪用（T1190）を主要技術として扱っています。

Cactusランサムウェア攻撃検出を目指したルールスタックをさらに詳しく確認するには、 検出を探索 をクリックしてください。すべてのアルゴリズムは、ATT&CK参照、CTIリンク、攻撃時間軸、トリアージ推奨事項、その他関連する詳細を含む豊富なメタデータで充実しています。

検出を探索

さらに、セキュリティ専門家は、進行中のCactusランサムウェア運用がDanaBotをドロップし、興味のあるシステムへの初期アクセスを達成するためのマルバタイジングを利用するのに関連した脅威ハンティング活動を強化するために、 DanaBot検出を目指した検出ルールセット を探索することもできます。

Cactusランサムウェア解析：Qlik Senseの欠陥とDanaBotをエントリーポイントとして使用した最新の攻撃

Arctic Wolf Labsチームは最近、 新しいCactusランサムウェアキャンペーン を検出し、Qlik Senseプラットフォームの公的にアクセス可能なインストールを標的にしています。ランサムウェアオペレーターは、感染をさらに広げる初期アクセスベクトルとして使用する三つの重大な Qlik Senseの脆弱性を利用しています。Windows向けのQlik Sense Enterpriseトラッキング番号CVE-2023-41266とCVE-2023-41265として追跡された二つのセキュリティ欠陥を連鎖させ、標的型攻撃を実行できます。成功したエクスプロイトチェーンにより、Qlik Senseソフトウェアをホスティングするサーバーを不正に侵入することが可能で、権限のないRCEを含む可能性があります。脅威を緩和するために、Qlikコミュニティは セキュリティアドバイザリー を発行しました。

上述のセキュリティ欠陥のパッチがリリースされた後、Qlikは、CVE-2023-41265への修正が十分でないとされ、 CVE-2023-48365と識別された別の重大な脆弱性の開示に繋がりました。この欠陥は、HTTPヘッダの不十分な検証により発生し、リモート攻撃者がHTTPリクエストをトンネルして自分の権限をエスカレートし、リポジトリアプリケーションをホストするバックエンドサーバーで実行できます。Qlikコミュニティはこの問題を扱う 独自のセキュリティアドバイザリー を公開しました。Qlik Senseの顧客は、潜在的に侵害されたデバイスを即座にパッチ済みのソフトウェアバージョンにアップグレードすることを強く推奨されます。

これらのCactusランサムウェア攻撃では、ハッカーは上記のセキュリティホールを利用してコードを実行し、Qlik Senseスケジューラーサービスによる新しいプロセスの開始を促します。攻撃者は、特定のツールキットをダウンロードするためにPowerShellおよびバックグラウンドインテリジェント転送サービス（BITS）を適用し、永続性とリモートアクセスを得ています。敵はまた、Sophosソフトウェアのアンインストール、管理アカウントの資格情報の変更、およびPlinkを介したRDPトンネルの確立にも手を染めます。

Qlik Senseの欠陥を悪用した攻撃の直後、 Microsoftは、 DanaBot感染による手動キーボード活動がStorm-0216別名UNC2198として知られるランサムウェアオペレーターにより引き起こされ、Cactusランサムウェアのデプロイが続くことを検出しました。この進行中の攻撃作戦では、 DanaBotマルウェア がマルバタイジング攻撃の誘導により分散されています。

Storm-1044としても追跡されるDanaBotは、 Emotet, TrickBot, QakBot、および IcedID に似ており、情報スティーラーおよび後続の悪意のあるストレインの潜在的なエントリーポイントとしての役割を果たす可能性があります。

2023年11月以来注目されている継続中のDanaBotキャンペーンは、マルウェア・アズ・ア・サービスモデルを利用するのではなく、カスタマイズされた情報スティールマルウェアのバージョンを使用しているようです。盗まれた資格情報はリモートサーバーに送信され、RDPサインイン試行を介した横方向の移動を引き起こし、さらにランサムウェアオペレーターへのアクセスを提供します。

現在増加しているCactusランサムウェア攻撃は、サイバー防衛能力を強化し、企業がサイバーセキュリティ態勢を向上させ、ネットワーク侵害を防止する必要性を高めています。 Threat Detection Marketplaceにアクセスすることで、進歩的な組織は、あらゆる規模と洗練されたランサムウェア攻撃に対する最新の検出アルゴリズムを探索し、より迅速な攻撃帰属のために関連するTTPも調査できます。