New EX-22 Tool Empowers Hackers with Stealthy Ransomware Attacks on Enterprises
2023/02/28 TheHackerNews — EXFILTRATOR-22 (別名 EX-22 ) という、新たな Post-Exploitation フレームワークが野放し状態で発見された。その主目的は、企業ネットワーク内で検知されずに、ランサムウェアを拡散させることにあるという、サイバー・セキュリティ企業の CYFIRMA は最新レポートで、「このツールには、システムに侵入した後の作業を容易にするための、幅広い機能が搭載されている」と述べている。
特筆すべき機能の一部には、昇格した特権でのリバースシェルの確立/ファイルのアップロードとダウンロード/キーストロークのログ記録/ファイルを暗号化するランサムウェアの起動/リアルタイム・アクセスのためのライブ VNC (仮想ネットワーク・コンピューティング) セッションの開始などがある。
このツールはシステム再起動後にも持続し、ワームを介した横方向への移動/実行中のプロセスの表示/ファイルの暗号化ハッシュの生成/認証トークンの抽出などができる。
CYFIRMA は、「このマルウェアを作成した脅威アクターは、北/東/東南アジアからオペレーションを行っており、おそらく LockBit ランサムウェアの元アフィリエイトであると、中程度の信頼度で評価する」と述べている。
絶対に検出されないマルウェアとして、Telegram/YouTube で宣伝されている EX-22 は、月額で $1,000 での使用、もしくは、$5,000 でのライフタイム・アクセスで提供されている。このツールキットの購入者には、EX-22 サーバにアクセスして、マルウェアをリモートで制御するためのログインパネルが提供される。
2022年11月27日に登場して以来、EX-22 は、新機能の追加により改良され続けている。
EX-22 と LockBit 3.0 との関連性は、技術的/インフラ的な共通点から見いだされている。両マルウェア・ファミリーは、Command and Control (C2) トラフィックを隠すために、同じ domain fronting mechanism を利用している。
Post-Exploitation-Framework-as-a-Service (PEFaaS) モデルは、侵害したデバイスに対する、長期にわたる維持するために、脅威アクターが利用できる最新のツールである。
また、Manjusaka/Alchimist などのフレームワークや、Cobalt Strike/Metasploit/Sliver/Empire/Brute Ratel/Havoc などの、合法的なオープンソースの代替品も、悪意の目的のために採用されている。
Post-Exploitation-Framework-as-a-Service (PEFaaS) という、新しい XX-as-a-Service の登場です。これまでは、Mlaware-as-a-Service にまとめられていたものが、Pre-Exploitation と Post-Exploitation に分けられるのでしょうか。たしかに、いろんなものが、次から次へと出てくるので、分けたほうが合理的かもしれませんが、喜ばしいことではありませんね。よろしければ、XX-as-a-Service で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.