Atom Silo ランサムウェア感染の検出

ランサムウェアのアクターは、より大きな利益を求めて悪意のあるトレンドの最前線に立とうとします。最近、セキュリティ研究者は、新たな脅威アクターがAtlassian Confluenceの重大な脆弱性（CVE-2021-26084）を利用してランサムウェア感染を進めているのを発見しました。「Atom Silo」と呼ばれるこのグループは、CVE-2021-26084といくつかの新しい回避技術を利用して監視を逃れ、恐喝攻撃を成功させます。

Atom Siloランサムウェア

詳細な 調査 によると、Sophos Labsは、Atom SiloがLockFileや LockBitのような多産なランサムウェアと非常に共通点が多いことを発見しました。LockFileが利用したように PetitPotam and と と

マイクロソフト製品の脆弱性を利用したことと同様に、Atom SiloもAtlassian Confluence ServerおよびData Centerの重大な脆弱性（CVE-2021-26084）を感染に利用しました。

ランサムウェアはCVE-2021-26084を利用し、バグが発見されたわずか3週間後にキルチェーンを更新し、侵入成功の可能性を高めました。この攻撃の悪名を増すために、Atom Siloの管理者は検出を回避するためのいくつかの革新的な技術も採用しました。

初期の侵入後、ランサムウェアのアクターは、Confluence Serverの脆弱性（CVE-2021-26084）を利用してバックドアを作成しました。この初期バックドアは、さらにDLLサイドローディングによる第2段階のステルスバックドアをドロップし、開始するために使用されました。この第2のバックドアは、ハッカーにWindows Management Interface（WMI）を通じてWindowsシェルコマンドのリモート実行を許可し、感染したネットワーク全体で横方向に移動することを可能にしました。

『上記に示された方法』は、検出を回避するためのAtom Siloグループによって適用された唯一のトリックではありません。このハッカー集団は、ランサムウェアペイロードをエンドポイント保護を妨害することができる悪意のあるカーネルドライバーで装備しました。

Confluence脆弱性（CVE-2021-26084）攻撃中

2021年8月25日、Atlassianは、Confluence ServerおよびData Centerに影響を与える重大なリモートコード実行（RCE）脆弱性を修正するために緊急のセキュリティアドバイザリを発表しました。OGNLインジェクションの問題であったこの欠陥は、認証された（場合によっては認証されていない）アクターが公開されたインスタンスで任意のコードを実行できるようにします。 このアドバイザリが発行されてから1週間後、セキュリティ研究者は、このバグのためのPHPの概念実証（PoC）エクスプロイトを、詳細な技術分析とともに公開しました。このPoCは、公開されたConfluence ServerおよびData Centerインスタンスに対するスキャンの波を引き起こし、複数の敵対者がCVE-2021-26084を使用して暗号マイナーをインストールしました。

また、バグ発見から数週間後、Atom Siloのギャングはこの脆弱性を武器化して犠牲者を攻撃しました。 U.S. Cyber Command（USCYBERCOM）は、米国企業に対してAtlassian Confluenceの重大な脆弱性に対する迅速な対応を促すために緊急の 警告 を発行しました。CISAも、公開されているインスタンスを早急にパッチする重要性を 強調しました。

Atom Siloの検出

Atlassian ConfluenceのRCEバグに依存するAtom Silo感染を検出するために、我々の意欲的な脅威バウンティ開発者である Sittikorn Sangrattanapitakがリリースした無料のシグマルールをダウンロードできます。また、ランサムウェア株への防御に関するベストプラクティスについて知るためには、私たちの 業界ガイドライン を確認してください。

Atom SiloランサムウェアはConfluence OGNL脆弱性CVE-2021-26084をプロキシ経由で使用

このルールには、次のSIEMセキュリティ分析プラットフォーム向けの翻訳があります：Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix。

このルールは、影響、永続性、特権昇格、防御の回避戦術を扱うMITRE ATT&CKの手法にマッピングされています。特に、データの暗号化による影響（t1486）および公的に利用可能なアプリケーションのエクスプロイト（t1190）技法、および実行フローのハイジャック（t1574）技法のDLLサイドローディング副技法（T1574.002）に対応しています。

Atom Siloランサムウェアは、Confluence RCEとDLLサイドロードをファイルイベント経由で使用

このルールには、次のSIEMセキュリティ分析プラットフォーム向けの翻訳があります：Azure Sentinel、ELK Stack、Chronicle Security、Splunk、Sumo Logic、ArcSight、QRadar、Humio、FireEye、Carbon Black、LogPoint、Graylog、Regex Grep、Microsoft PowerShell、RSA NetWitness、Apache Kafka ksqlDB、Securonix、SentinelOne、Qualis。

このルールは、影響、永続性、特権昇格、防御の回避戦術を扱うMITRE ATT&CKの手法にマッピングされています。特に、データの暗号化による影響（t1486）技法および実行フローのハイジャック（t1574）技法のDLLサイドローディング副技法（T1574.002）に対応しています。

Atlassian Confluence ServerおよびData CenterのCVE-2021-26084脆弱性に関連する悪意のある活動を検出および緩和するために、すでにSOC Primeプラットフォームで利用可能な 検出リスト を確認してください。

SOC Primeプラットフォームに登録して、脅威の検出をより簡単に、迅速に、シンプルにします。20以上のサポートされているSIEM＆XDR技術内で最新の脅威を瞬時に追跡し、脅威調査を自動化し、20,000人以上のセキュリティ専門家のコミュニティからのフィードバックと審査を受けて、セキュリティオペレーションを強化します。独自の検出コンテンツを作成したいですか？私たちのThreat Bountyプログラムに参加し、Threat Detection MarketplaceリポジトリであなたのSigmaおよびYaraルールを共有し、個別の貢献に対する定期的な報酬を獲得してください！

プラットフォームへ移動 Threat Bountyに参加