Atlassian Confluence を狙うランサムウェア Atom Silo は LockFile と酷似している

New Atom Silo ransomware targets vulnerable Confluence servers

2021/10/04 BleepingComputer — 新たに発見されたランサムウェア・グループ Atom Silo は、ラン先日にパッチが適用されたが、活発に悪用されている Atlassian Confluence Server and Data Center の脆弱性を標的とし、サムウェアのペイロードを展開しようとしている。Atlassian Confluence は、様々なプロジェクトで共同作業を行うための、Web ベースの企業向けチームワーク・スペースとして高い人気を誇っている製品である。

8月25日に、Atlassian セキュリティ・アップデートを発行し、CVE-2021-26084 として追跡され、ワイルドに悪用されている、Confluence のリモートコード実行 (RCE) の脆弱性を修正した。この脆弱性が悪用されると、認証されていない攻撃者により、パッチが適用されていないサーバー上で、リモート・コマンドの実行を許すことになる。

ランサムウェア・ギャングたちが Confluence サーバー を標的にし始める

SophosLabs の研究者たちが、最近のインシデントを調査していた際に、新たな発見があった。新しいランサムウェア・グループ Atom Silo が見つかったが、そのグループが使用しているランサムウェアは、LockFile と非常によく似ていることが分かったのだ。

しかし、Atom Silo のオペレーターは、エンドポイントプロテクションを混乱させるように仕組まれた、悪意の DLL をサイドロードするなど、調査を困難にさせるための。いくつかの斬新な手法を使用している。

この脅威アクターは、Confluence サーバーを侵害してバックドアをインストールした後に、DLL のサイド・ローディングを利用して第2段階のステルス性の高いバックドアをドロップし、侵入したシステム上で起動させる。また、Atom Silo が展開するランサムウェアのペイロードには、エンドポイント・プロテクションを混乱させ、検知を回避する、悪意のカーネル・ドライバが含まれている。

SophosLabs は、「この事件は、ランサムウェアが急速に進化していることを示している。この超ステルス・ランサムウェアは、つい数週間前までは、誰も知らなかったものだ。そして、LockFile に似ているが、独自の斬新で洗練された TTP を駆使している。
さらに、Atom Silo は、ランサムウェアの実行に先立ち、検知を逃れるために多大な努力を払っている。それは、使い古された技術を、新しい方法で再利用するものであり、ランサムウェアを展開するまでの間は、Windows 本来のツールやリソースのみを使用して、ネットワーク内を移動するというものだ」と述べている。

Atom Silo の侵害と横移動の戦術に関する技術的な詳細は、SophosLabs の報告書に記載されている。

Confluence の脆弱性を利用した攻撃

9月初めに BleepingComputer が報じたように、最近公開された Confluence RCE の 脆弱性 CVE-2021-26084 を、複数の脅威アクターがスキャン/悪用している。そして、Atlassianのパッチが発行された6日後に PoC エクスプロイトが公開されると、暗号マイナーをインストールし始めた。

BleepingComputerは、Windows および Linux 上の Confluenceサーバーに、攻撃者が暗号マイナー (XMRig Monero など) をインストールしていたことを確認した。9月初旬には、米国の USCYBERCOM が異例の警告を発し、すでの Atlassian Confluence の深刻な脆弱性が大規模に悪用されていることを明示し、米国の組織に対して直ちにパッチを適用するよう促した (週末をまたぐことなく)。また、CISA も管理者に対して、先日に Atlassian が発行した Confluence のセキュリティ・アップデートを直ちに適用するよう警告している。

そのころに、BleepingComputer が警告していたように、これらの攻撃者は暗号通貨マイナーを展開しているだけだったが、ハッキングされたオンプレミスの Confluence サーバーから、企業ネットワーク内を横方向に移動し始めると、ランサムウェアのペイロードやデータの流出へと、一気にエスカレートする可能性がある。

Sophos の Senior Threat Researcher である Sean Gallagher は、「今回のインシデントは、インターネットに接続するソフトウェアの脆弱性が、パッチを適用されずに放置された期間が短い場合であっても、いかに危険であるかを思い知らされた。今回のケースでは、この脆弱性により、無関係な2つの攻撃であるランサムウェアとクリプトマイナーが、同時に始まってしまった」と述べている。

Atlassian Confluence に関しては、「Atlassian Confluence の悪用は暗号マイニングの範囲に留まるか?」と、「米政府 警告:Atlassian Confluence の大規模な悪用が進行中」という記事をポストしています。LockBit で検索や、LockFile で検索を行ってもらうと、これらのランサムウェアに関するポストが参照できます。合わせて、ご利用ください。

%d bloggers like this: