RansomHubランサムウェアのLinuxバージョンにバグ 専門家らが発見 | Codebook|Security News
Codebook|Security News > Articles > Threat Report > RansomHubランサムウェアのLinuxバージョンにバグ 専門家らが発見

Threat Report

Linux

PoC

RansomHub

RansomHubランサムウェアのLinuxバージョンにバグ 専門家らが発見

Yoshida

Yoshida

2024.06.24

6月21~24日:サイバーセキュリティ関連ニュース

RansomHubランサムウェアのLinuxバージョンにバグ 専門家らが発見

Security Affairs – June 22, 2024

今年2月の登場以来、急速に成長を遂げているRansomHubランサムウェア。暗号化ツールとして、Windowsを狙うものだけでなくVMware ESXi環境を標的にしたLinux向けのバージョンも導入していたが、Insikt Groupの専門家らによると、このバージョンにはバグが存在するという。

このツールは「/tmp/app.pid」というファイルを作成し、RansomHubプロセスの排他的実行を行うことが確認されているが、ファイルの内容に「-1」が含まれている場合、同ツールは存在しないプロセスを終了させようとして無限ループに入り、自身の活動を無効化してしまうようだ。そのためファイルが暗号化されたり、システムに対するその他の害が生じたりすることがなくなるとのこと。

Insikt GroupはESXi、Linux、Windowsといった環境でRansomHubランサムウェアのファイルを検出するためのYARAおよびSigmaルールを作成している。同社はまたRansomHubがよく使うコマンドライン(仮想マシンの停止やシャドウコピーの削除、インターネットインフォメーションサービス(IIS)の停止など)の呼び出しが行われていないか、エンドポイントログを調べるようアナリストに推奨している。

最近修正されたSolarWinds Serv-Uの脆弱性が実際の攻撃で悪用される(CVE-2024-28995)

SecurityWeek – June 21, 2024

最近パッチが適用されたSolarWinds Serv-Uの脆弱性を悪用するための最初の試みとして、脅威アクターらが公開済みのPoCコードを活用しているという。脅威インテリジェンス企業GreyNoiseniyのレポートで明らかとなった。この欠陥CVE-2024-28995は深刻度の高いディレクトリトラバーサルの脆弱性で、悪用に成功すると、攻撃者はホストマシン上の機微性の高いファイルを読み取ることができるようになる。

GreyNoiseによれば、この欠陥の悪用事例はRapid7がバグについての詳細情報とPoCコードを公開した後すぐに確認されたという。観測された悪用の試みの中には、公開済みのPoCエクスプロイトのコピーを使って失敗したものもあれば、その攻撃手法に対する深い理解が示されたものなどもあったという。ほとんどの攻撃は認証情報や、Serv-U FTPサーバーの起動ログ、Windowsの構成設定を標的にしていたとされる。

SolarWindsは顧客に対し、このバグに対処するため、できるだけ早く修正済みのバージョン(Serv-U 15.4.2 Hotfix 2)にアップデートするよう呼びかけている。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ