新たなEpsilon Redランサムウェアが未パッチのMicrosoft Exchangeサーバーを標的に

REvilのギャングが、企業のMicrosoft Exchangeサーバーを明確に攻撃し企業ネットワークに侵入する新しいマルウェアのバリアントを背後で操っている可能性があります。この新しい脅威は、既知の脆弱性を利用して最終的なペイロードを配信するために武装された一連のPowerShellスクリプトに依存しています。現在、研究者は少なくとも1つの攻撃が成功し、4.29BTC（21万ドル）の身代金が支払われたことを確認しました。

Epsilon Redランサムウェアとは何ですか？

悪意ある領域の新参者は、2021年5月下旬に米国のホスピタリティベンダーに対する攻撃を調査する際にSophosの専門家によって確認されました。分析によると、Epsilon Redは単純な64ビットのWindows実行ファイルで、Go言語でコーディングされています。機能は基本的にファイルの暗号化に用いられ、他のより高度なタスクはPowerShellスクリプトに委ねられます。

によると Sophosの調査、敵対者は最初の侵入に、露出したMicrosoft Exchangeサーバーに依存していました。現在のところ、彼らが犯罪行為に使用したかどうかは明確ではありません。 Exchange ProxyLogonエクスプロイト。しかし、調査は、ターゲットにされたサーバーがそれに確実に脆弱であったことを確認しています。ネットワークに侵入後、侵入者はWindows Management Instrumentation（WMI）ツールを利用して、Exchangeサーバーからアクセス可能なマシンに他のソフトウェアをドロップしました。

攻撃を進行させるために、脅威アクターは12以上のPowerShellスクリプトを利用し、ランサムウェアペイロードのための対象環境を準備し、Epsilon Redの実行ファイルをプッシュして開始します。注目すべきは、これらのPowerShellスクリプトの難読化メカニズムが非常に弱く、初歩的であることです。それにもかかわらず、有名なウイルス対策ソリューションでも検出を回避するのには十分です。

セキュリティ専門家は、悪名高いREvilギャングがEpsilon Redの開発に関わっている可能性があると疑っています。この仮定への主要な手がかりは、侵害されたインスタンスに表示される身代金要求メモです。それはREvilランサムウェアによって残されたものに似ていますが、いくつかの追加や文法の更新がされています。身代金要求メモを除けば、Epsilon RedはREvilとは共通点がなく、攻撃全体において独自のツールと戦術が適用されています。

Epsilon Redの検出

会社のインフラストラクチャを保護し、可能性のあるEpsilon Redの感染を防ぐには、私たちの生産的なThreat Bounty開発者 Sittikorn Sangrattanapitakが公開したコミュニティSigmaルールをダウンロードすることができます。

https://tdm.socprime.com/tdm/info/KtL5teTMdTRJ/#sigma

このルールは次の言語に翻訳されています:

SIEM: Azure Sentinel, ELK Stack

MITRE ATT&CK:

戦術: 偵察, 実行

技術: アクティブスキャン(T1595), コマンドおよびスクリプトインタプリタ(T1059)

初期感染ベクターがProxyLogonエクスプロイトに脆弱なMicrosoft Exchangeサーバーであると疑われるため、管理者にはインストールをできるだけ早く最新の安全なバージョンにアップグレードすることを強くお勧めします。また、Threat Detection Marketplaceユーザーは ProxyLogon検出を目的とした一連のSigmaルール にアクセスして、既存のセキュリティホールを特定できるかもしれません。

更なる脅威検出コンテンツをお探しですか？Threat Detection Marketplaceに無料登録して、最新の攻撃に対応した10万以上のキュレートされたSOCコンテンツアイテムを環境に合わせて参照できます。独自のSigmaルールを作成したいですか？Threat Bounty Programに参加し、貢献に対する継続的な報酬を得ましょう！

プラットフォームへ移動 Threat Bountyに参加