CVE-2021-22941: プロフェットスパイダーによって悪用されるCitrix ShareFileリモートコード実行の脆弱性

悪名高い最初のアクセスブローカーPROPHET SPIDERが、CVE-2021-22941脆弱性を利用してMicrosoft Internet Information Services (IIS)ウェブサーバーに不正アクセスしていることが発見されました。サイバー犯罪者は、組織のセキュリティシステムに侵入して機密データをブロックし、ランサムウェアグループにアクセスを売ることを狙っています。

上記のパストラバーサル脆弱性を利用することで対抗者は ウェブシェルを配信し、さらにペイロードをダウンロードすることができます。PROPHET SPIDERはまた、広く知られる Log4j脆弱性. 

SOC Prime Threat Bounty開発者によって行われた最新の検知を探索し、PROPHET SPIDERの活動がネットワークにアクセスする前にそれを検知してください。

CVE-2021-22941検出

PROPHET SPIDERがあなたのシステムに対して攻撃を試みた場合には、以下の検出ルールリストを確認してください。我々のコンテンツは、Citrix ShareFileとVMwareにおけるLog4j脆弱性のエクスプロイトをカバーしています。

PROPHET SPIDERに関連する悪意ある活動を軽減するためには、悪名高い脅威アクターが活用する最初のアクセスの隙間を避けることが重要です。我々はRCE脆弱性(CVE-2021-22941)だけでなく、VMware Horizonにタグ付けされたLog4j脆弱性CVE-2021-44228、CVE-2021-45046、およびCVE-2021-44832も検出し対処することをお勧めします。

CVE-2021-22941のエクスプロイトによる初期アクセス時の疑わしいPROPHET SPIDERの活動 (ウェブサーバー経由でウェブシェルを配信)

PROPHET SPIDERはCitrix ShareFile RCE脆弱性を利用 (ポストエクスプロイト)

VMware HorizonでのLog4j(CVE-2021-44228)脆弱性のエクスプロイト (スケジュールされたタスクの作成経由)

VMware HorizonでのLog4j(CVE-2021-44228)脆弱性のエクスプロイト (cmdline経由)

VMware HorizonでのLog4j(CVE-2021-44228)脆弱性のエクスプロイト (スケジュールされたタスクの作成経由)

ルールは、我々のThreat Bounty開発者によって提供されます エミル・エルドアン, アイテク・アイテムール、および ナッタトーン・チューンサンガルン.

サイバーセキュリティのエキスパートは、Threat Bountyプログラムに参加して、コミュニティの力を活用し、脅威検知コンテンツに対する報酬を得ることが歓迎されています。

検知を見る Threat Bountyに参加

CVE-2021-22941エクスプロイトの詳細

攻撃者がデプロイしたウェブシェルは、既知のウェブサーバーの脆弱性を利用してランサムウェアツールをダウンロードします。攻撃者の動機に応じて選択できるため、第二段階のペイロードの仕様は異なる場合があります。観察されたペイロードには、恐喝、ランサムウェア、および暗号通貨マイニングが含まれます。

PROPHET SPIDER脅威アクター は少なくとも2017年5月から活動しています。彼らは、既知のウェブサーバーの脆弱性を利用して被害者のシステムにアクセスしてきました。最近の活動はそれと何も違いませんが、第二段階のペイロードの種類が多様です。

PROPHET SPIDERによって頻繁に悪用される最新の既知の脆弱性には以下があります：

• CVE-2021-22941 — Citrix ShareFile Storage Zones Controllerに影響を与え、Microsoft IISウェブサーバーにアクセスするために使用されます
• CVE-2021-44228、CVE-2021-45046、およびCVE-2021-44832 — VMware Horizonの既知のLog4j脆弱性に影響を与える

ターゲットサーバーにアクセスすると、攻撃者はHTTP GETリクエストで渡されるアップロードされたパラメータを使って既存のファイルを上書きします。その後、組織のデータをブロックし、他のランサムウェア関係者に再販売します。

このエクスプロイトに関連して追跡可能なMITRE ATT&CK技法およびサブ技法は次のとおりです：

• 初期アクセス (T1190)
• 実行 (T1059.001)
• 持続性 (T1505.003)
• コマンド＆コントロール (T1071)
• ツール転送の浸入 (T1105)

SOC Primeのクラウドソーシング貢献者によって作成された検出コンテンツには、これらのTTPにマッピングされた行動ベースの検出が含まれています。

熟練した脅威検出の専門家からなる我々のグローバルコミュニティの力を継続的に取り入れ、日々のSOC運用を強化してください。 SOC PrimeのCodeとしての検出プラットフォーム近代APTはそのネットワークを拡大し続けていますので、成長し続けるサイバー脅威に対処することは組織が孤立した環境にある場合には難しいでしょう。我々のプラットフォームに参加し、可能な限り早くサイバー攻撃を検知しましょう。