Linux Cerber Ransomware Variant Exploits Atlassian Servers
2024/04/17 InfoSecurity — パッチ未適用の Atlassian サーバを悪用する攻撃者たちが、Cerber ランサムウェア (別名:C3RB3R) の Linux 亜種を展開していることが確認された。Atlassian Confluence Data Center/Server に存在する、深刻なセキュリティ脆弱性 CVE-2023-22518 の悪用に成功した攻撃者たちは、認証なしで Confluence をリセットし、管理者アカウントを作成することが可能になる。
管理者アカウントを獲得した攻撃者は、システムをコントロールし、機密性/完全性/可用性を脅かすようになる。金銭的な動機のあるサイバー犯罪グループは、新しく作成した管理者アカウントを悪用して Effluence のウェブ・シェル・プラグインをインストールすることで、任意のコマンドを実行していたという。
Cado の Threat Intelligence Engineer である Nate Bill は、「Cerber の主要なペイロードは “confluence” ユーザーの下で実行され、その暗号化範囲は、対象となるユーザーが所有するファイルに限定される」と、4月16日に公開されたブログ記事で指摘している。なお、この悪用の手口は、2023年11月の時点で Rapid7 も指摘していた。
このランサムウェアのコア・コンポーネントは C++ でプログラムされており、同じく C++ で書かれた、より有害なソフトウェアの運び屋としても機能する。それらの悪意の追加ソフトウェアは、攻撃者の管理下にあるセンタライズされたサーバから取得される。
メインのランサムウェア・コンポーネントは、タスクが完了すると、システムから自身を削除するが、さらに2つのコンポーネントが関与している。1つはランサムウェアに必要なパーミッションの有無をチェックし、もう1つはコンピューター上のファイルを暗号化し、身代金が支払われるまでアクセス不能にするものだ。
身代金要求のメモには、データの流出が仄めかされているが、実際には行われていない。Nate Bill によると、Golang や Rust のようなクロス・プラットフォーム言語への移行が進む中で、純粋な C++ のペイロードが優勢であることは、注目に値するようだ。
彼は、Cerber の巧妙さを強調しているが、その一方で指摘しているのは、Confluence のデータのみを暗号化することに限界があり、特にバックアップが十分に設定されたシステムでは、被害者が金銭を支払う必然性は低下するという点だ。
一連の動きは、Windows や VMware ESXi サーバを標的とする、新たなランサムウェア・ファミリーの出現と時を同じくしている。さらに、ランサムウェア・オペレーターたちは、流出した LockBit のソースコードから亜種をカスタマイズしている。強固なセキュリティ対策と、従業員へのサイバー・セキュリティ教育の必要性が、今後は、さらに高まっていくだろう。
Cerber ランサムウェアの展開のために、脆弱性 CVE-2023-22518 へのパッチが適用されていない、Atlassian サーバが悪用されているとのことです。この脆弱性については、2023/11/06 の「Atlassian Confluence の脆弱性 CVE-2023-22518:Cerber ランサムウェアの攻撃を観測」で、すでに悪用が確認されています。よろしければ、Atlassian で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.