新たなランサムウェアグループがVeeam製バックアップソフトウェアの脆弱性を悪用(CVE-2023-27532)
The Hacker News – Jul 10, 2024
今年4月に発見された新たなランサムウェアグループ「EstateRansomware」がVeeam Backup & Replicationに存在する脆弱性CVE-2023-27532を悪用していることを、Group-IBの研究者が明かした。
Group-IBが4月に観測した攻撃においてEstateRansomwareは、初期アクセスの手段として休眠アカウントを使用。Fortinet FortiGateファイアウォールのSSL VPNサービスに対してブルートフォース攻撃を行っていたという。これによりVPNへのログインを成功させると、ファイアウォールから標的のフェイルオーバーサーバーへのRDP接続を確立。次に持続的に活動を続けるバックドアを展開してC2サーバーへの接続を確立したことで、攻撃者の発する任意のコマンドを実行できる状態が実現された。
初期アクセス後の活動としては、脆弱性CVE-2023-27532の悪用を通じて不正なユーザーアカウントを作成し、NetScanやAdFindのほか、NitSoftが提供するさまざまなツールを使いつつ、標的のシステムでネットワークのスキャンや列挙、クレデンシャルハーベスティングといった活動を行おうとしているのが観測されている。その後DC.exeを用いてWindows Defenderを永久に無効化し、PsExec.exeを使ってランサムウェアの展開と実行が行われていたとのこと。
関連記事:
ランサムウェアレポート無料配布中!
以下のバナーより、ランサムウェアのトレンドを扱ったSilobreaker社のレポート『2024 Ransomware? What Ransomware?』の日本語訳バージョンを無料でダウンロードいただけます。
<レポートの主なトピック>
- 主なプレーヤーと被害組織
- データリークと被害者による身代金支払い
- ハクティビストからランサムウェアアクターへ
- 暗号化せずにデータを盗むアクターが増加
- 初期アクセス獲得に脆弱性を悪用する事例が増加
- 公に報告された情報、および被害者による情報開示のタイムライン
- ランサムウェアのリークサイト – ダークウェブ上での犯行声明
- 被害者による情報開示で使われる表現
- ランサムウェアに対する法的措置が世界中で増加
- サプライチェーン攻撃を防ぐため、手口の変化に関する情報を漏らさず把握
- 複数の情報源と脅威インテリジェンスツールを活用することが依然不可欠