セキュリティ研究者は、ネットワークへのアクセスを許可する重大な脆弱性にパッチを適用するだけでは、ランサムウェア攻撃から防御するには不十分であると警告しています。

一部のギャングは、被害者が必要なセキュリティ更新プログラムを適用した後、機会が存在し、被害者が戻ってくる可能性がある間に、この欠陥を悪用してバックドアを計画しています。

1 つのケースは、ハッカーがテレフォニー システムの重大なバグのエクスプロイトを使用して被害者のネットワークへのアクセスを取得してから数か月後に完了した Lorenz ランサムウェア攻撃です。

セキュリティ更新前に仕掛けられたバックドア

Lorenz ランサムウェア攻撃へのインシデント対応作業中に、グローバル インテリジェンスおよびサイバー セキュリティ コンサルティング会社 S-RM の研究者は、ハッカーが横方向への移動、データの窃盗、およびシステムの暗号化を開始する 5 か月前に被害者のネットワークに侵入したと判断しました。

S-RM は、ハッカーが、リモート コード実行を可能にする Mitel テレフォニー インフラストラクチャの重大な脆弱性である CVE-2022-29499 を悪用して、最初のアクセスを取得したと判断しました。

このセキュリティ問題は昨年、CrowdStrike Services による「ランサムウェアによる侵入の疑い」に関する調査で発見されました。その時点では、ベンダーは脆弱性について知らず、 修正はまだ行われていませんでした。

S-RM の研究者は、クライアントが 7 月に CVE-2022-29499 のパッチを適用していたのに対し、Lorenz ランサムウェア ハッカーはより迅速に動き、脆弱性を悪用し、問題を修正する更新の 1 週間前にバックドアを仕掛けたことを発見しました。

「彼らは、ネットワーク境界上の CentOS システム上の 2 つの Mitel PHP ページ内の脆弱性を利用して、独自のインフラストラクチャから Web シェルを取得し、システムにインストールすることができました」 – S-RM

脆弱なページはシステムに残っていませんでしたが、フォレンジック分析により、被害者のマシンで攻撃者の Web シェルが作成されたときに最後にアクセスされたことが明らかになりました。

ハッカーは、バックドアに「 twitter_icon_<ランサム文字列>」という名前を付けて隠そうとし、システム上の正当な場所のディレクトリに配置しました。

Web シェルは、HTTP POST リクエストをリッスンする 1 行の PHP コードで、次の 2 つのパラメータを使用します。「id」は、ランダムな文字列と共にシステム アクセスの資格情報として機能し、「img」は実行するコマンドを含みます。 .

CVE-2022-29499 を悪用した Lorenz ランサムウェア バックドアが仕掛けられる
Lorenz ランサムウェアによって “twitter_icon_<random string>” という名前で埋め込まれた PHP Web シェル
出典: S-RM

5 か月間、Web シェルは被害者のネットワーク上で休眠状態にありました。ハッカーが攻撃を追跡する準備ができたとき、彼らはバックドアを使用し、48 時間で Lorenz ランサムウェアを展開しました。

重大なバグ修正を適用する前に侵入をチェックする

S-RM の研究者は、長い非活動時間は、ランサムウェア グループが被害者のネットワークへのアクセスをブローカーから購入したことを示唆している可能性があると述べています。

もう 1 つの理論は、ローレンツ ギャングは十分に組織化されており、最初のアクセスを取得し、他の侵入者によるハイジャックから保護する専用のブランチを持つというものです。

S-RM の研究者である Tim Geschwindt と Ailsa Wood 、攻撃者は通常、新しい脆弱性を最大限に活用し、インターネット上でパッチが適用されていないシステムをできるだけ多く見つけて侵害しようとし、後で戻って攻撃を継続すると述べています。

彼らは、「Lorenz が積極的に古いバックドアに戻り、まだアクセスできることを確認し、それらを使用してランサムウェア攻撃を開始していると評価しています。」

このため、2 人の研究者は、適切なタイミングでソフトウェアを最新バージョンに更新することがネットワークを防御する上で依然として重要なステップであると述べていますが、重大な脆弱性がある場合、企業はエクスプロイトの試みや侵入の可能性がないか環境をチェックする必要もあります。

ログを確認し、不正なアクセスや動作を探し、予期しないトラフィックのネットワーク監視データを確認することで、セキュリティ アップデート後も存続する侵入が明らかになる可能性があります。