Zerologon Vulnerability Strikes Again: RansomHub Exploits Legacy Flaw
2024/06/05 SecurityOnline — RansomHub と呼ばれる新たなランサムウェアが急速に台頭し、現時点におけるランサムウェア・グループの中で、最も積極的に活動するグループの1つとなっている。Symantec の Threat Hunter チームは、この RansomHub と、従来からの Knight ランサムウェアとの間に強い関連性があることを発見し、Knight のリブランディング/アップデート・バージョンが、RansomHub であると示唆している。
以前から Cyclops とも呼ばれていた Knight ランサムウェアから、RansomHub は派生/進化したものだと思われる。Knight のソースコードは、開発者が活動を停止した後の 2024年2月に、アンダーグラウンドのフォーラムで販売されていた。このコードが、他の脅威アクターの手で修正され、RansomHub として再スタートしたと推測されている。両者の間には、数多くの類似点があるが、RansomHub の背後には、Knight のオリジナル作成者はいないと考えられている。
RansomHub と Knight の、コードやランサムノートには類似点がある。さらに、暗号化を実行する前にエンドポイントをセーフモードで再起動させるという、ユニークな手法も著しく類似している。この手口は、Snatch/Noberus などのランサムウェア株でも確認されており、これらのグループの間に、潜在的なつながりがあると疑われている。
最近の調査で Symantec は、Zerologon のドメイン管理者権限の付与に関する脆弱性 CVE-2020-1472 を悪用することで、RansomHub がイニシャル・アクセスを得ていることを突き止めた。それに続いて、この脅威アクターは、リモート・アクセスのために Atera および Splashtop や、ネットワーク発見のために NetScan といった、デュアル・ユース・ツールを悪用していた。RansomHub のペイロードは、ランサムウェアを展開する前に、iisreset.exe/iisrstas.exe を用いて、すべての IIS サービスを停止させていた。
RansomHub の活動が急速に活性化している背景には、最近になって閉鎖された Noberus (ALPHV/BlackCat) ランサムウェア・グループの、アフィリエイトたちを引き付ける能力がある。注目すべきは、Notchy として知られるアフィリエイトが、いまは RansomHub と連携していることだ。さらに、別の Noberus アフィリエイトだった Scattered Spider にリンクされたツールが、最近の RansomHub 撃で使用されているという。
2024年2月に登場した RansomHub は、ランサムウェア界における支配的なプレイヤーとしての地位を短期間で確立している。具体的に言うと、これまでの3ヶ月間において、攻撃回数で4番目に多いランサムウェア・オペレーターとなった。このグループが攻撃を仕掛けた著名な標的の中には、英国のオークション・ハウス Christies も含まれている。
RansomHub の台頭と大きな影響力が浮き彫りにするのは、ランサムウェア脅威の進化である。ユーザー組織に対して強く求められるのは、脆弱性への迅速なパッチ適用および、疑わしい活動の監視である。また、フィッシングなどの攻撃ベクターのリスクに関して、従業員の教育することも不可欠である。
この Zerologon の脆弱性 CVE-2020-1472 ですが、古いものなので、お隣のキュレーション・チームに聞いてみました。すると、第一報は 202年8月の Microsoft 月例アップデートで、その後も Red Hat や Oracle などにも波及していたそうです。また、このブログの中では、2022/04/27 の「NSA/FBI が警告する 2021年の脆弱性:日常的に悪用され続けた Top-15 とは?」で取り上げられていました。それらを考え合わせると、かなり広範に影響を及ぼしてきた脆弱性であると推測できます。ご注意ください。
IoT OT Security News 
You must be logged in to post a comment.