LockBitランサムウェアがBlackCat、NoEscapeのアフィリエイトをリクルート
(情報源:BleepingComputer – December 13, 2023)
先週NoEscapeおよびBlackCat/ALPHVランサムウェアグループのTorサイトが突如アクセス不能になるという事態が起こったが、これを受けてLockBitランサムウェアグループは現在、両ランサムウェアのアフィリエイトやコーダーを自らの陣営に引き入れようとしているという。
Torサイト停止と「出口詐欺」疑惑
先週警告もなしに利用不能となったNoEscapeとBlackCat/ALPHVのWebサイト。まずNoEscapeに関しては、アフィリエイトらは同グループが「出口詐欺」を働いたと主張している。つまり、NoEscapeグループには、Webパネルとデータリークサイトを閉鎖することにより、身代金数百万ドル分を持ち逃げしたとの疑惑があるという。
一方でBlackCat/ALPHVの全インフラも、先週5日間にわたりオフラインになった。リークサイトは月曜日に再開されたが、過去に掲載されていた全データは削除されていたほか、被害組織との交渉用URLも一部を除いて無効になっているという。ALPHVの管理者は障害原因を「ハードウェアの問題」としているが、一部では法執行機関の関与があったのではないかという噂もある。
BlackCatインフラの障害は「クリスマスプレゼント」とLockBit
上記のような事態を受けて動いたのが、現時点で最大手のランサムウェアオペレーションであるLockBit。同グループのマネージャー「LockBitSupp」がNoEscapeとBlackCatのアフィリエイトらをリクルートし始めたことを、LeMagITが最初に報じている。これによれば、LockBitSuppはロシア語ハッキングフォーラムに投稿し、盗難データのバックアップを持っているアフィリエイトに向けて、LockBitのデータリークサイトと交渉用パネルを使って被害組織の恐喝を続けることが可能だと呼びかけているという。またアフィリエイトに加えて、BlackCatの暗号化ツールのコーダーも引き抜こうとするなど、LockBitは今回の混乱を人員補強の好機と捉えている模様。実際、BleepingComputerの取材に対してLockBitSuppは、BlackCatのインフラ機能停止を「クリスマスプレゼント」とみなしていると語ったという。
アフィリエイトのLockBitへの移行有無は不明
LockBitSuppの提案を受けて実際にLockBitへ移行したアフィリエイトがいるかどうかは不明。ただ、LockBitのデータリークサイトに、あるBlackCatの被害組織が掲載されているのがすでに目撃されているという。
BleepingComputerは、アフィリエイトやペンテスターなどがBlackCatやNoEscapeに対する信頼を失って他のRaaSグループに鞍替えしているかどうかを判断するのは早計だとしつつも、近いうちにまた新たなブランドが誕生しても不思議ではないと指摘している。
12月14日:その他のサイバーセキュリティ関連ニュース
Apache Strutsの重大な脆弱性、公開PoC用いた悪用始まる:CVE-2023-50164
BleepingComputer – December 14th, 2023
最近修正されたApache Strutsの重大なRCE脆弱性CVE-2023-50164を、一般公開済みのPoCエクスプロイトコードを用いて悪用しようとする試みが始まっているという。スキャンプラットフォームであるShadowserverが、こうした動きに関与しているIPアドレスを少数観測した旨を報告している。
当該脆弱性はパストラバーサルの問題に起因するもので、攻撃者に悪用されれば、悪意あるファイルのアップロードやリモートコード実行が可能になる恐れがある。ひいては、機密性の高いファイルの改ざんやデータ窃取、重要サービスの妨害、ラテラルムーブメントといった行為の実現につながる危険性もあるとされる。
修正版であるStruts バージョン6.3.0.2および2.5.33は12月7日にリリース済みだが、10日にはあるセキュリティ研究者が同脆弱性の技術的詳細や考え得る攻撃手法などを記した記事を公開。その後12日に、エクスプロイトコードを含む第2弾の分析記事を公開していた。そして13日には、Shadowserverが以下のツイートで悪用の試みについて報告している。
We have started to see attempts to use PoC exploit code published for Apache Struts CVE-2023-50164 CVSS 9.8 RCE in our sensors (a few src IPs). Make sure to update your Struts installs …
Apache Security Bulletin: https://t.co/iVAinVdl7M
NVD entry: https://t.co/oHoHGlcyu7
— Shadowserver (@Shadowserver) December 13, 2023
なお、CVE-2023-50164はシスコ製品にも影響を与える可能性があるとされており、シスコは現在、Apache Strutsを搭載する自社製品のうち、どれがどの程度影響を受け得るかについて調査中であるとのこと。
中国APT Volt Typhoon、SOHOルーターの不滅のボットネットに関与か
SecurityWeek – December 13, 2023
中国国家支援型ハッキンググループVolt Typhoonが、廃盤となった何百台ものSOHOルーターを乗っ取り、Torのような秘密のデータ転送ネットワークを立ち上げて、米国の重要組織などを狙った悪質な活動を実行していることが判明した。Black Lotus Labsによると、このボットネットKV-Botnetは感染プロセスが複雑であること、検知を回避することなどを特徴としているとのこと。また、重大なセキュリティ問題に脆弱な、廃盤となったデバイスで構成されているとのこと。こういったデバイスの機種はパッチの付与が終了しており、家庭や中小企業で使用されるものが多いため、対策のための専門知識が備わっていない場合が多い。そのため、唯一の解決策としてデバイスの使用を停止し、交換することが挙げられている。さらにBlack Lotus Labsは組織が脅威のリスクを軽減できるよう、このマルウェアと関連アーティファクトについて公開を予定しているという。
新興のサイバー犯罪マーケット「OLVX」がハッカーの間で人気に
BleepingComputer – December 13, 2023
2023年7月に発見されたサイバー犯罪マーケットプレイスOLVXで、新たな顧客が急速に増えているという。同マーケットはサイバー犯罪のマーケットプレイスがダークウェブではなくクリアネット上でホストされることが多くなっている最近のトレンドに沿ったもので、より幅広いユーザーがアクセスしやすく、SEOによるプロモーションもできるようになっている。OLVXの人気が上昇したのは、マーケット運営者によるSEOの取り組み、ハッカーフォーラムでの広告の掲載、同プラットフォーム専用のTelegramチャンネルを通じたプロモーション、そしてハッキングコミュニティの口コミが理由だとされる。またOLVXは数多くのカテゴリーにまたがる数千もの商品を提供しているが、カスタムツールキットを作成したり、特殊なファイルを入手したりできるさまざまなサイバー犯罪者とサイト運営者が関係を維持していることも顧客を惹きつける要因になっているという。さらに、エスクローサービスを使わず、暗号通貨に対応したデポジットから直接お金を支払う制度があることが、顧客による商品の購入を促進しているとのこと。