Windowsの管理者が標的に:PuTTYやWinSCPの広告装うマルバタイジング・ランサムウェアキャンペーン | Codebook|Security News
Codebook|Security News > Articles > Threat Report > Windowsの管理者が標的に:PuTTYやWinSCPの広告装うマルバタイジング・ランサムウェアキャンペーン

Threat Report

alphv

BlackCat

Cobalt Strike

Windowsの管理者が標的に:PuTTYやWinSCPの広告装うマルバタイジング・ランサムウェアキャンペーン

佐々山 Tacos

佐々山 Tacos

2024.05.20

5月18~20日:サイバーセキュリティ関連ニュース

Windowsのシステム管理者が標的に:PuTTYやWinSCPの広告装うマルバタイジング・ランサムウェアキャンペーン

BleepingComputer – May 18, 2024

PuTTYやWinSCPの宣伝に見せかけたマルバタイジングを用いてWindowsのシステム管理者を標的にするランサムウェアキャンペーンについて、Rapid7が報告。これは、PuTTYやWinSCPをダウンロードしようとするユーザーによって「download winscp」や「download putty」といったキーワードが検索された際に、検索エンジンに偽のダウンロードサイトの広告を表示させ、そこから、最終的にポストエクスプロイトツールキット「Sliver」のインストールに繋がるZIPアーカイブをダウンロードさせるというもの。

Rapid7によれば、偽の広告には、「puutty.org」、「puutty[.]org」、「wnscp[.]net」、「vvinscp[.]net」など、タイポスクワッティングによってあたかも正規サイトであるかのように見せかけたドメインが使われていたという。これらのサイトにはダウンロードリンクが掲載されており、これをクリックしたユーザーは、脅威アクターのサーバーからZIPアーカイブをダウンロードさせられることになる。

このZIPアーカイブには、Windows版Python向けの正規ファイル(pythonw.exe)をリネームした実行ファイル「setup.exe」が含まれており、ユーザーがこれをPuTTYまたはWinSCPをインストールするつもりで実行すると、DLLサイドローディングによって悪意あるDLL「python311.dll」がロードされる。そして、python311.dllによって抽出・実行される暗号化されたPythonスクリプトにより、最終的にインストールされるのが、コーポレートネットワークへの初期アクセス獲得用ツールとして人気の高いSilver。Rapid7が観測したインシデントでは、脅威アクターはSilverを用いてCobalt Strikeビーコンなどのさらなるペイロードをリモートで投下し、バックアップユーティリティのResticを使ってデータを抜き取ろうと試みたり、ランサムウェア暗号化ツールを展開しようとしたりしていたという。

このランサムウェアの詳細はさほど明かされていないが、Rapid7が観測した関連するTTPは、過去にMalwarebytesやトレンドマイクロによって観測されたBlackCat/ALPHVランサムウェアのキャンペーンを思い起こさせるものだったとのこと。

関連記事

Threat Report

Threat Report

alphv

BlackCat

Cobalt Strike

BlackCatランサムウェアがサーバー停止 アフィリエイトは同グループに身代金を持ち逃げされたと主張

佐々山 Tacos

佐々山 Tacos

2024.05.20

Zabbixに重大なSQLインジェクションの脆弱性:CVE-2024-22120(CVSS 9.1)

securityonline[.]info – MAY 17, 2024

Zabbixに、深刻度の高いタイムベースのSQLインジェクションの脆弱性CVE-2024-22120が発見された。CVSSスコアが9.1、深刻度が「Critical」と評価されるこの脆弱性は、権限昇格やリモートコードの実行に繋がる恐れがあり、Zabbixのバージョン6.0.0 – 6.0.27、6.4.0 – 6.4.12、7.0.0alpha1 – 7.0.0beta1を使用しているシステムには重大なリスクがもたらされることになるという。

Zabbixは人気のオープンソースモニタリングツールで、ネットワークやサーバー、仮想マシン、クラウドサービスなど、ITインフラのさまざまなコンポーネントをモニタリングするのに使われる。CVE-2024-22120は同ツールのサーバーにおける監査ログメカニズムに存在。コンフィギュレーションされたスクリプトのコマンドをこのサーバーが実行する際、そのアクションのログは「Audit Log」に残されるが、このログ内の「clientip」フィールドが適切にサニタイジングされないために、clientipへSQLを注入してタイムベースのブラインドSQLインジェクション攻撃を行うことが可能になっているという。

今回の脆弱性は、バグバウンティプラットフォームのHackerOneを通じて、「mf0cuz」としても知られるセキュリティ研究者Maxim Tyukov氏によって発見・報告されたもの。脆弱性の詳細やPoCは同氏によって提供されており、Zabbixのアドバイザリで確認できるようになっている。

CVE-2024-22120が悪用された際の影響は重大であると思われることから、脆弱なバージョンを使用している利用者には、6.0.28rc1、6.4.13rc1、7.0.0beta2のいずれかの修正済みバージョンへの可及的速やかなアップグレードが求められている。

Ivanti EPMMに、システムの乗っ取りに繋がり得るローカル特権昇格の脆弱性 PoCも公開済み:CVE-2024-22026

securityonline[.]info – MAY 17, 2024

モバイルデバイスの管理ソリューションとして広く使われるIvantiのエンタープライズモビリティ管理(EMM)に、深刻度の高いローカル特権昇格の脆弱性CVE-2024-22026が見つかっている。この脆弱性により、ローカルの攻撃者は、リモートのURLから呼び出された悪意あるRPMパッケージを用いてソフトウェアアップデートのプロセスを悪用し、システムへのrootアクセス権限を取得できるようになるという。

脆弱性の発見者はRedline Cyber SecurityのBryan Smith氏。Redline Cyber Securityのブログでは技術的詳細や悪用手法、緩和策などに関する情報が提供されている。また、同脆弱性の悪用が成功した場合に考えられる影響として、以下が挙げられている:

  • システムの完全な侵害
  • 権限を持たない者による、機微なデータへのアクセス
  • さらなるネットワーク侵入の可能性

さらに、Bryan Smith氏のGitHubページでも、CVE-2024-22026の詳細やPoCが共有されている。

同脆弱性に対するパッチは、バージョン12.1.0.0、12.0.0.0、11.12.0.1にてリリースされている。これらより前のバージョンを使用している組織は、一刻も早くアップデートを適用し、システムやデータを保護する必要がある。

関連記事

Threat Report

Threat Report

alphv

BlackCat

Cobalt Strike

Ivanti、ノルウェー政府への攻撃で悪用された第2のゼロデイ脆弱性について注意喚起:CVE-2023-35081

佐々山 Tacos

佐々山 Tacos

2024.05.20

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ