Atlassian Confluence の脆弱性 CVE-2023-22527 の悪用を観測:パッチ未適用のシステムが標的

Confluence Servers Under Attack: Hackers Leverage Vulnerability for RDP Access and Remote Code Execution

2025/05/19:gbhackers — インターネットに公開される Atlassian Confluence サーバの、テンプレート・インジェクションの脆弱性 CVE-2023-22527 が、攻撃者により悪用されていることが判明した。この脆弱性を悪用する攻撃者は、リモート・コード実行 (RCE) を達成し、標的のネットワークへのイニシャル・アクセスと足場を確立していた。最初の侵害は、IP アドレス 45.227.254.124 からの、”whoami” コマンドを実行するネットワーク・トラフィックを通じて検出された。その直後には、別の IP アドレス 91.191.209.46 から Meterpreter 経由で Metasploit ペイロードが展開され、C2 (command-and-control) チャネルの確立が急速に拡大した。

このインシデントは、2024年12月の DFIR Labs CTF レポートで詳細に分析されている。ただし、それ以前の 2024年10月の時点で、 Threat Brief で共有されたものであり、企業における未修正システムが抱える、継続的な危険性を浮き彫りにしている。

Remote Code Execution
 PCAP of network traffic showing Confluence exploitation of CVE-2023-22527
パッチ未適用のシステムを標的とした悪用

攻撃者たちは、数日間にわたり、スクリプトを活用して侵入を自動化しながら、入念に準備された攻撃を実行していた。彼らは、侵入からわずか数分で、持続的なリモート・アクセスを確立するための AnyDesk をインストールし、“noname” というローカル管理者アカウントを作成した。そして、Remote Desktop Protocol (RDP) を有効化し、別経路からのアクセスを確保していた。

Remote Code Execution
AnyDesk Command line to set unattended access password

この攻撃者のツールキットには、Mimikatz/ProcessHacker/Impacket の Secretsdump といった資格情報収集ツールが取り込まれ、LSASS メモリ・ダンプや NTLM ハッシュ抽出を通じて、ドメイン管理者の認証情報を窃取していた。

攻撃者は、RPCSS 亜種の named pipe を用いた成りすまし戦術により、SYSTEM レベル・アクセスを取得し、特権の昇格に成功した。さらに、Zerologon の脆弱性 CVE-2020-1472 や、PrintNightmare の脆弱性 CVE-2021-34527 などを悪用する攻撃にも挑戦している。そこから窺えるのは、攻撃対象範囲を拡大しようとする彼らの執念である。

多段階の攻撃からランサムウェア展開へ

最初の侵害から3日 (約 62時間) 後に攻撃者は、RDP と SMB 共有経由でバックアップ・サーバとファイル・サーバを標的とし、Mimic の変種である ELPACO-team ランサムウェアを展開した。

注目すべきは、ファイルに “.ELPACO-team” 拡張子が付加される、暗号化の負荷の影響が軽減されていたことだ。それにより、AnyDesk セッション経由で攻撃者のサーバへ転送されたデータ量は、約70MB という最小限とも言えるレベルで記録されており、大規模なデータ漏洩とは認識されなかったようだ。

また、ネットワーク・スキャンのための SoftPerfect NetScan や、ドメイン・コントローラーでのコマンド実行のための Impacket wmiexec などが、攻撃のためのツールとして使用され、内部探索と横展開が大規模に行われていた。

そして、DefenderControl を使用して Windows Defender を無効化し、イベント・ログを削除して足跡を隠蔽していた。

さらに、AnyDesk の自己ホスト型サーバー (45.227.254.124) へのダイレクト接続機能が、標準の中継サーバを回避することで、検知を逃れていたことも判明した。

つまり攻撃者は、ネットワーク監視ツールによる検知リスクを最小限に抑えながら、アクセスを維持するために、初期の C2通信には Metasploit を使用し、その後に AnyDesk に切り替えるという、戦略的な転換を行っていた。

DFIR Labs により分析された、このインシデントが浮き彫りにするのは、単一の未修正の脆弱性により連鎖的に引き起されるリスクの深刻さである。それに加えて、モニタリング・ツールである Suricata が、Confluence の脆弱性を検出し、SID 2050543 として特定したように、堅牢な監視体制や多層的な防御が、いかに重要かを改めて示している。

侵害の指標 (IOC:Indicators of Compromise)
TypeIndicatorDescription
Network45.227.254.124AnyDesk C2 Server & Initial Exploit IP
Network91.191.209.46Metasploit C2 Server IP
Fileelpaco-team.exeRansomware Binary (Mimic Variant)
File SHA256a710ed9e008326b981ff0fadb1c75d89deca2b52451d4677a8fd808b4ac0649bELPACO-team Ransomware Hash

最近のサイバー攻撃は、検知を回避しながら、短時間で侵害を完了するという点で、凄まじい進化を見せているように思えます。今回の攻撃で、最初に標的にされた組織は、かなりの確率で耐えられないでしょう。そして、忘れたころに、別の被害者が生まれます。こうした情報を共有しながら、同じ侵害を受けないための予防手段を講じることが、精一杯ですね。よろしければ、Confluence で検索も、ご参照ください。