ELPACO-Team Ransomware Attack Detection: Hackers Exploit Atlassian Confluence Vulnerability (CVE-2023-22527) to Gain RDP Access and Enable RCE
目次:
今日の急速に進化するランサムウェアの状況では、脅威アクターたちはアクセスを得てペイロードを展開するスピードを驚異的に加速させています。攻撃者は、既知の脆弱性をエントリーポイントとして活用することがますます増えており、最近の攻撃では、CVE-2023-22527というAtlassian Confluenceの最大深刻度のテンプレートインジェクションの脆弱性を利用して、インターネットに露出したシステムを損なう事例が見られました。わずか62時間後に、攻撃者は次のステージを実行しました:ELPACO-team ランサムウェア、Mimicバリアントであり、RDPおよびSMB共有を通じて重要なバックアップおよびファイルサーバーをターゲットにしました。
CVE-2023-22527のエクスプロイトでELPACO-Teamランサムウェアをドロップすることを検出
Sophosによれば、2024年には平均ランサムウェア復旧コストが2.73百万ドルに急上昇し、前年から500%の劇的な増加を見せています。この急な上昇はサイバー攻撃の経済的影響の増加を浮き彫りにし、より積極的な防御戦略の必要性を強調しています。最近のELPACO-teamランサムウェア事件のような脅威に対抗するためには、サイバー防御者は常に攻撃者に一歩先んじるために、信頼できるタイムリーなCTIと実効性のある検出コンテンツを必要としています。
SOC Prime Platformに登録し 、Atlassian Confluence脆弱性(CVE-2023-22527)を利用してELPACO-teamランサムウェアを配信する最近のキャンペーンに対応するSigmaルールの専用セットにアクセスしてください。キュレーションされた検出コンテンツは、AI駆動の検出エンジニアリング、自動脅威ハンティング、先進的な脅威検出のための完全な製品スイートでサポートされています。下の 検出を探索 ボタンをクリックして、関連するコンテンツスタックに即座にアクセスしてください。
さらに、セキュリティ専門家は対応する CVE IDタグを使用してThreat Detection Marketplaceを閲覧することで、CVE-2023-22527のエクスプロイトに特有の検出コンテンツを見つけることができます。防御者はまた、より広範な「CVE」タグで検索するか、または「ランサムウェア」タグを適用して、世界中のランサムウェア攻撃を網羅する検出ルールセットにアクセスすることもできます。
SOC Prime Platformのすべてのルールは、複数のSIEM、EDR、およびデータレイクソリューションに対応しており、 MITRE ATT&CK®フレームワークにマッピングされています。加えて、すべてのルールには 脅威インテル の参照、攻撃のタイムライン、トリアージの推奨事項など、詳細なメタデータが含まれています。
さらに、セキュリティの専門家は Uncoder AI を使って脅威調査を効率化することができます — 脅威情報に基づいた検出エンジニアリングのためのプライベートIDE&コパイロットで、現在トークン制限なしでAI機能が完全に無料で利用可能です。生の脅威レポートから検出アルゴリズムを生成し、最適化されたクエリに迅速にIOCを投入し、ATT&CKタグを予測し、AIの提案でクエリコードを最適化し、複数のSIEM、EDR、およびデータレイク言語にわたって翻訳します。
CVE-2023-22527分析:ELPACO-Teamランサムウェアによる攻撃
防御者たちは、脅威アクターが未パッチのインターネットに露出したAtlassian Confluenceサーバーの既知の脆弱性を兵器化してランサムウェア作戦を開始する洗練された攻撃キャンペーンを最近特定しました。
2024年初夏に起きた侵害は、 CVE-2023-22527というCVSSスコアが10.0に達するテンプレートインジェクションの脆弱性を利用していました。この欠陥はConfluence Data CenterおよびServerの古いバージョン(8.0.x〜8.4.x、および8.5.0〜8.5.3)に影響を与え、RCEおよび不正アクセスを容易にします。特筆すべきは、攻撃者は初回の侵害から約62時間経ってからランサムウェアを展開し、意図的かつ隠密なアプローチを示していました。
感染チェーンは、Confluenceサーバー上でCVE-2023-22527を利用することから始まりました。ネットワークトラフィック分析は用いられた手法を示し、攻撃者は最初に「whoami」コマンドを発行してアクセスをテストし、その後、より有害なペイロードを配信しました。 DFIR Reportの研究によれば、内部に侵入した後、敵対者たちは反復的に一連のアクションを実行しました。例えば、 Metasploit のペイロードを展開し、C2接続を確立し てAnyDesk をインストールして持続的なアクセスを維持しました。彼らはその後権限を昇格し、「 Mimikatz」のようなツールを使用して資格情報を抽出し、RDPアクセスを有効にしてネットワークを横断しました。攻撃チェーンの最終段階では、攻撃者は既知のMimicランサムウェアのバリアントであるELPACO-teamランサムウェアを展開しました。攻撃者は一部のイベントログを削除しましたが、攻撃中に重大なデータ流出の証拠はありませんでした。
キャンペーンの重要な詳細は、脆弱性のスキャンと後の自己ホストAnyDeskサーバーとしての役割を果たす単一のIPアドレス(45.227.254.124)の再利用であり、故意に準備された悪意のあるインフラストラクチャを指し示しています。
攻撃全体を通じて、悪意のある実行可能ファイルがNetworkServiceプロファイルの一時フォルダ内の異常なディレクトリに配置されました。それは最小限の関数インポート( VirtualAlloc and ExitProcessのみ)を持ち、Windows API関数を実行時に解決して隠蔽するためにハッシングを採用していました。これはMetasploitペイロードでよく見られる手法です。
特筆すべきは、攻撃者は複数のバックドアを展開して持続的なアクセスを維持する高度な持続戦略を示しました。システムへの侵害直後に、彼らはConfluenceサーバー上にAnyDeskリモートアクセスソフトウェアをインストールし、インストールディレクトリに実行可能ファイルを保存し、「P@ssword1」というパスワードで無人アクセスとして設定しました。これによりユーザーの操作なしに再侵入が可能になりました。
足場を強化するために、敵対者は自動バッチスクリプト(u1.bat)を使用して「noname」という名前のローカル管理者アカウントを「Slepoy_123」というパスワードで作成しました。このスクリプトはユーザーを特定し、アカウントを管理者グループに追加し、パスワードを期限切れにしないように設定するためにWMICを利用しました。攻撃中にこのアカウントは3回作成され、一つのバックドアが削除されても持続的なアクセスを確保するための入念な努力を示しています。さらに、ハッカーはレジストリ設定を変更してRDPを有効にし、ファイアウォールルールを調整しました。これにより、標準の認証方法を迂回し、オリジナルの脆弱性が最終的に修正されても複数のアクセスルートを維持することができました。
特筆すべきは、Confluence Data CenterおよびServerの最新のサポートされているバージョンはこの脆弱性の影響を受けません。これは定期的なバージョンアップデートによって対処されました。それにもかかわらず、ベンダーはすべての顧客に、その他の非重大な問題を保護するためにインスタンスを守るため、最新版に迅速にアップグレードすることを強く勧めています。 1月のセキュリティ速報.
このキャンペーンで使用された対抗者の方法の洗練度の向上、未パッチのConfluenceサーバーのエクスプロイトから高度な防衛回避技術を伴ったステルスな横移動後のランサムウェア展開まで、は防御者に超敏捷性を要求します。CVE-2023-22527の潜在的な緩和策には、適時のパッチ適用、異常なシステム活動の継続的な監視、および同様の高衝撃攻撃に対抗するためのAnyDeskなどのリモートアクセスツールの強化が含まれます。 SOC Prime Platform は、すべての瞬間が重要であるときに、セキュリティチームが著名な攻撃や最も複雑な脅威を妨害するためのAI、自動化、および実行可能な脅威インテリジェンスに裏打ちされた完全な製品スイートをキュレートしています。
