Microsoft Exchange への BlackByte 攻撃:依然として ProxyShell が暴れている

Microsoft Exchange servers hacked to deploy BlackByte ransomware

2021/12/01 BleepingComputer — BlackByte というランサムウェアが、ProxyShell と呼ばれる脆弱性を利用してMicrosoft Exchange サーバーを攻撃し、さまざまな企業ネットワークに侵入している。ProxyShell とは、Microsoft Exchange における3つの脆弱性のセットの名称であり、それらが連鎖することで、サーバー上で認証を必要としないリモートコード実行が可能になるものだ。

これらの脆弱性は以下の通りであり、2021年4月/5月に公開されたセキュリティ更新プログラムにより修正されている。

  • CVE-2021-34473 – Pre-auth Path Confusion leads to ACL Bypass (Patched in April by KB5001779)
  • CVE-2021-34523 – Elevation of Privilege on Exchange PowerShell Backend (Patched in April by KB5001779)
  • CVE-2021-31207 – Post-auth Arbitrary-File-Write leads to RCE (Patched in May by KB5003435)

    研究者たちが、この脆弱性を公開して以来、脅威アクターたちはサーバーに侵入し、ウェブシェル/コインマイナー/ランサムウェアなどをインストールし始めている。

BlackByte が ProxyShell の悪用を開始

Red Canary の詳細レポートには、「BlackByte ランサムウェアの攻撃を分析したところ、ProxyShell の脆弱性を悪用して侵入した Microsoft Exchange サーバーに、Web Shellをインストールしていることが判明した」と記されている。

Web Shell とは、Web サーバーにアップロードされた小さなスクリプトのことであり、それを利用することで、脅威アクターは対象デバイスへ上での持続性を獲得し、リモートコマンドの実行や、任意のファイル・アップロードなどを可能にする。

このようにして仕込まれた Web Shell は、Cobalt Strike Beacon をサーバーに投下し、Windows Update Agent のプロセスに注入させる。続いて、広く利用されているペネトレーション・テスト・ツールを使用して、侵入したシステムのサービス・アカウントの認証情報を取得する。最終的には、アカウントを乗っ取った後に、敵対者は AnyDesk リモートアクセス・ツールをインストールして、横方向への移動の段階へと進んでいく。

BlackByte は依然として深刻な脅威である

一般的なランサムウェア攻撃では、サードパーティ・ツールを使用して、昇格権限の獲得や、ネットワーク上でもランサムウェア展開などが行われる。そして、BlackByte ランサムウェアの実行ファイルは、特権の昇格および、侵害された環境内でのワーム (横移動) を処理するため、中心的な役割を果たす。

このマルウェアは、3つのレジストリ値を設定する。1つ目はローカルでの特権昇格、2つ目は特権レベル間でのネットワーク接続共有の有効化、3つ目はファイルパス/名前/名前空間に長いパス値を許可するものだ。

暗号化の前には、Raccine Rules Updater というスケジュール・タスクを削除し、直前の傍受を防ぐ。そして、難読化された PowerShell コマンドを使用して、WMI オブジェクト経由でシャドウコピーを消去する。最後に、WinRAR を用いてファイルをアーカイブし、”file.io ” や “anonymfiles.com ” などの匿名ファイル共有プラットフォームで、盗み出したファイルを流出させる。

Trustwave は 2021年10月に、BlackByte ランサムウェア対応のデクリプタをリリースしているが、被害者によりファイルを復元されてしまった暗号化戦術を、このオペレーターが継続して使っているとは考えられない。そのため、個々の攻撃で、どのような鍵が使われたかに応じて、Trustwave 復号器によるファイルの復元は可能/不可能となる。BlackByte の複数の亜種が新たに登場していることが、Red Canary により確認しているため、マルウェアの作者が検出/分析/復号化を回避しようとしているのは明らかだ。

ProxyShell からランサムウェアへ

ProxyShell の脆弱性を利用してランサムウェアを配布することは、新しいことではない。実際に、11月の初めに Babuk を展開したアクターにより、同様のことが行われている。ProxyShell セットは、2021年3月以降に、複数のアクターにより積極的に悪用されており、また、セキュリティ・アップデートを適用する時期は十分に過ぎている。何らかの理由で、それが不可能なケースの管理者に対しては、シャドウコピーの削除/不審なレジストリの変更/制限ポリシーを回避した PowerShell の実行などの、前兆となる活動がないかを、システム上で監視することが推奨されている。

ProxyShell に関する記事は、依然として止まりませんね。つい先日に、「IKEA のシステムがリプライチェーン・メール攻撃の渦中にある」という記事をポストしましたが、これも Exchange がターゲットで、ProxyShell についても言及されています。11月20日には、「Microsoft Exchange を狙うリプライ・チェーン攻撃は止まらずに継続している」という記事もありました。CVE-2021-34473CVE-2021-3452CVE-2021-31207 への対応は済んでいると思いますが、チェックは大丈夫でしょうか?

%d bloggers like this: