Prodaft – IoT OT Security News

JetBrains TeamCity の RCE 脆弱性 CVE-2023-42793：ランサムウェアによる攻撃を確認

Ransomware gangs now exploiting critical TeamCity RCE flaw

2023/10/02 BleepingComputer — JetBrains の TeamCity の CI/CD (continuous integration and continuous deployment) サーバに存在する深刻な脆弱性を、ランサムウェア・ギャングたちが標的にしはじめた。この脆弱性 CVE-2023-42793 (CVSS : 9.8) は、ユーザーとの対話を必要としない複雑度の低い攻撃を可能にする。したがって、認証バイパスに成功した未認証の攻撃者により、リモートからのコードを実行 (RCE) が引き起こされる。この脆弱性を発見／報告したのは、スイスのセキュリティ企業 Sonar である。そして、9月21日に JetBrains が、TeamCity 2023.05.4 をリリースし、この深刻な脆弱性に対処した１週間後に、Sonar による技術的な詳細が発表された。

LockBit Green という亜種：Conti ベースの暗号化システムが使用されている

LockBit ransomware goes ‘Green,’ uses new Conti-based encryptor

2023/02/02 BleepingComputer — LockBit ランサムウェア・ギャングは、他のオペレーションが開発した暗号化システムを使い始めている。今回に流出したのは、Conti ランサムウェアが使用していた暗号化システムの、ソースコードをベースにしたものに切り替わっている。LockBit が登場したときはカスタム暗号から始まったが、BlackMatter ギャングのソースコードに由来する LockBit 3.0 (別名 LockBit Black) へと、暗号化システムを切り替えていた。

Exchange Server の脆弱性 ProxyNotShell：60,000 台以上のサーバがパッチ未適用

Over 60,000 Exchange servers vulnerable to ProxyNotShell attacks

2023/01/03 BleepingComputer — オンラインに晒されてされている 60,000 台以上の Microsoft Exchange Server において、ProxyNotShell の１つであるリモート・コード実行 (RCE) の脆弱性 CVE-2022-41082 への、パッチが適用されていないことが判明した。インターネット・セキュリティの向上を目指す、非営利団体 Shadowserver Foundation のセキュリティ研究者たちの最新ツイートによると、バージョン情報 (サーバの x_owa_version ヘッダ) の追跡により、約 70,000 台の Microsoft Exchange Server が、ProxyNotShell 攻撃に対して脆弱であることが判明した。

FIN7 ハッキング・グループの正体：Exchange を SQL インジェクションで自動攻撃

FIN7 hackers create auto-attack platform to breach Exchange servers

2022/12/22 BleepingComputer — ハッキング・グループ FIN7 は、Microsoft Exchange に存在する SQL インジェクションの脆弱性を悪用した自動攻撃システムにより、企業ネットワークに侵入してデータを盗み出し、財務規模に基づいてランサムウェア攻撃のターゲットを選定している。この自動攻撃システムは、数年前から FIN7 の活動を注意深く監視してきた、Prodaft の脅威インテリジェンス・チームにより発見されたものだ。

Atlassian Confluence の脆弱性 CVE-2022-26134：50件のアクセス権を販売する驚異アクターが登場

Threat actors sell access to tens of vulnerable networks compromised by exploiting Atlassian 0day

2022/06/26 SecurityAffairs — 先日に発見された、Atlassian Confluence のゼロデイ欠陥 (CVE-2022-26134) の悪用により、侵入を許してしまった 50件の脆弱のネットワークへのイニシャル・アクセスが、ある脅威アクターにより販売されている。この発見は、Rapid7 Threat Intelligence チームによるものでありで、その情報は The Record で公開されている。この脆弱なネットワークへのイニシャル・アクセスは、ロシア語のフォーラム XSS で提供されていた。

Conti ランサムウェアが７月以降で稼いだ 30億円：その金の流れを追跡する

Conti ransomware operations made at least $25.5 million since July 2021

2021/11/19 SecurityAffairs — ブロックチェーン分析企業 Elliptic の支援を受けて、スイスのセキュリティ企業 Prodaft が実施した調査により、ランサムウェア Conti の運用者は、2021年7月以降に支払われた身代金のうち、少なくとも $25.5 million の収益を得ていることが明らかになった。

LockBit ランサムウェアが復活：セキュリティ・ベンダーたちが警鐘を鳴らす

Security Vendors Sound the Alarm on LockBit Ransomware’s Return

2021/08/19 DarkReading — 2019年に登場した Ransomware-as-a-Service (RaaS) である LockBit の運営者が再登場し、マルウェアの改良版を発表するとともに、ダークウェブや標的となる組織内からアフィリエイトを募るという、不吉で積極的なキャンペーンを展開している。