IceFire Ransomware Exploits IBM Aspera Faspex to Attack Linux-Powered Enterprise Networks
2023/03/09 TheHackerNews — IceFire として知られている Windows ベースのランサムウェアが、世界中のメディアやエンターテイメントの組織で運用されている、Linux エンタープライズ・ネットワークへとターゲットを拡大している。サイバーセキュリティ企業の SentinelOne によると、このランサムウェアは、最近に公表された IBM Aspera Faspex ファイル共有ソフトウェアに存在する、不適切なデシリアライズの脆弱性 CVE-2022-47986 (CVSS:9.8) を悪用して展開されているという。
SentinelOne の Senior Threat Researcher である Alex Delamotte は、「この戦略的な移行は、Linux システムも標的とする他のランサムウェア・グループと足並みを揃える、重大な動きである」と、The Hacker News と共有したレポートで述べている。同社が観測した攻撃の大半は、トルコ/イラン/パキスタン/U.A.E. などの、通常は組織的なランサムウェア・オペレーターが標的としない国々の企業が対象となっているという。
IceFire は 2022年3月に、MalwareHunterTeam により初めて検出されている。しかし、GuidePoint Security/Malwarebytes/NCC Group によると、そのダークウェブ・リークサイトを通じて被害者が公表されたのは、2022年8月になってからのことだという。
Linux を標的としたランサムウェアのバイナリは、2.18MBの 64-Bit ELF ファイルであり、IBM Aspera Faspex ファイルサーバ・ソフトウェアの脆弱なバージョンを実行している、CentOS ホストにインストールされる。また、感染したマシンがオペレーションを継続できるように、特定のパスの暗号化を回避することも可能だという。
Alex Delamotte は、「Windows と比較して、Linux はランサムウェアの展開が難しく、成功させるためには大規模な展開が必要となる。また、多くの Linux システムはサーバであり、フィッシングやドライブ・バイ・ダウンロードのような典型的な感染経路はあまり有効ではない。それを克服するために、攻撃者はアプリケーションの脆弱性を悪用するようになる」と述べている。
この進展は、Fortinet FortiGuard Labs が、新しい LockBit ランサムウェアのキャンペーンを公表したことに由来する。この攻撃では、Mark-of-The-Web (MoTW) 保護をバイパスするために、.IMG コンテナを通じて検出を回避する技巧が採用されている。
調べてみたら、この脆弱性 CVE-2022-47986 は、2023/02/21 付で CISA の KEV に登録されていました。つまり、米国の連邦政府機関において、悪用の実績のある脆弱性として識別されているわけです。最近の Linux 関連の記事は、以下の通りです。よろしければ、Linux で検索も、ご利用ください。
2023/03/01:Iron Tiger:Linux 版のマルウェアを投入
2022/12/25:Linux Kernel の致命的な欠陥
2022/12/03:Linux の新たなゼロデイ CVE-2022-3328
IoT OT Security News 
You must be logged in to post a comment.