From Confluence Vulnerability (CVE-2023-22527) to LockBit Encryption: A Rapid Attack Chain
2025/02/24 SecurityOnline — DFIR Report のセキュリティ研究者たちが発見したのは、Confluence の深刻なリモート・コード実行の脆弱性 CVE-2023-22527 を悪用し、侵害の2時間後には LockBit ランサムウェアを展開するという、高度に調整された攻撃である。
Confluence のサーバ・サイド・テンプレート・インジェクション脆弱性 CVE-2023-22527 を悪用する、未認証の攻撃者が任意のコマンドを実行するところから、この攻撃は始まる。イニシャル・アクセスが、IP アドレス (92[.]51.2.22) から行われているところまで追跡されている。そこで、攻撃者は、net user や whoami などのシステム検出コマンドを実行していた。
DFIR Report は、「この脅威アクターによる活動の最初の兆候は、net user や whoami などのシステム検出コマンドの実行だった」と述べている。
そして、アクセスを取得した攻撃者は、curl 経由で直ちに AnyDesk のダウンロードを試みたが、最初は失敗した。しかし、その後に攻撃者は mshta.exe を使用して、Metasploit ステージャーを取り込んだリモート HTA ファイルを実行し、C2 環境を確立した。
続いて AnyDesk をインストールした脅威アクターは、それをプリセット・パスワードで設定し、永続的なリモート・アクセスを確保した。DFIR Report には、「インストールされた AnyDesk は、プリセット・パスワードで設定され、脅威アクターは永続的なリモート・アクセスを確保した」と記されている。
この攻撃者は迅速に行動し、プロセス列挙コマンドを実行して、他の脅威アクターを特定し、競合するプロセスを終了させた。このフェーズにおいて、攻撃者は誤って自身の Metasploit セッションを終了してしまい、エクスプロイトを再実行して C2 を再確立せざるを得なくなった。
この攻撃者は Mimikatz を用いて資格情報を抽出し、RDP 経由でバックアップ・ サーバへと横移動した。そこで攻撃者は、PowerShell スクリプト (Veeam-Get-Creds-New.ps1) を実行して Veeam 資格情報を盗み出した。それらの資格情報により、ファイル共有サーバへのアクセスを容易にした攻撃者は、そこから Rclone を使用して MEGA.io へとデータを流出させた。
この環境を完全に制御した攻撃者は、LockBit ランサムウェアを手動/自動の方法で展開した。
- 手動実行:LockBit はバックアップ・サーバーとファイル共有サーバーにおいて手動で実行された。
- 自動展開:正規のエンタープライズ・デプロイメント・ツール PDQ Deploy を悪用する攻撃者が、SMB 経由でネットワーク全体へ向けてランサムウェア・バイナリをプッシュした。
- 二次暗号化ウェーブ:フェールセーフ・バッチ・スクリプトが Exchange サーバで実行され、見逃されたターゲットが暗号化された。
研究者たちは、「PDQ Deploy を悪用する脅威アクターは、ランサムウェア・バイナリとバッチ・スクリプトを、SMB 経由でリモート・ホストに展開した」と詳述している。
攻撃のタイムラインと、技術指標の詳細な内訳については、DFIR Report を参照してほしい。
Confluence の脆弱性 CVE-2023-22527 ですが、2024年3月の時点で PoC が公開されており、LockBit 以外の脅威アクターによる悪用も確認されています。ご利用のチームは、十分に ご注意ください。よろしければ、以下の関連記事も、ご参照ください。
2024/10/30:CVE-2023-22527 の悪用:Titan を介したクリプトジャッキング
2024/08/30:CVE-2023-22527 の悪用:Godzilla Web シェルをドロップ
2024/08/27:CVE-2023-22527 を悪用:広範なクリプトジャッキングが発覚
2024/03/09:CVE-2023-22527:Web シェルをドロップするPoC が登場
2024/01/22:CVE-2023-22527 が FIX:積極的な悪用を観測
2024/01/16:Atlassian Confluence の脆弱性 CVE-2023-22527 が FIX
IoT OT Security News 
You must be logged in to post a comment.