マルチライセンス割引
Threat Database Ransomware CACTUS ランサムウェア

CACTUS ランサムウェア

RansomwareMezoまで
翻訳内容:
日本語

サイバーセキュリティ研究者らは、クラウド分析およびビジネス インテリジェンス プラットフォームである Qlik Sense 内で新たに明らかになったセキュリティ脆弱性を利用した CACTUS Ransomware キャンペーンについて警告しています。このキャンペーンは、CACTUS ランサムウェアを利用する悪意のある攻撃者が、ターゲット環境への初期アクセスを取得するための主な手段として Qlik Sense の脆弱性を利用した最初の文書化された事例を意味するため、注目に値する展開となっています。これは、不正アクセスや潜在的なデータ侵害のために一般的なソフトウェア プラットフォームの弱点を悪用するために、脅威アクターが採用する戦術が進化していることを浮き彫りにしています。

CACTUS ランサムウェアは、いくつかのソフトウェアの脆弱性を介して配信されます

サイバーセキュリティ アナリストは、数か月に渡って、公開された 3 つの脆弱性を悪用したと思われる一連の攻撃を特定しました。

  • CVE-2023-41265 (CVSS スコア: 9.9) - この脆弱性には HTTP リクエスト トンネリングが含まれており、リモート攻撃者が権限を昇格して、リポジトリ アプリケーションをホストしているバックエンド サーバーによって実行されるリクエストを送信できるようになります。
  • CVE-2023-41266 (CVSS スコア: 6.5) - パス トラバーサルの脆弱性により、認証されていないリモート攻撃者が HTTP リクエストを未承認のエンドポイントに送信できるようになります。
  • CVE-2023-48365 (CVSS スコア: 9.9) - HTTP ヘッダーの不適切な検証に起因する、認証されていないリモート コード実行の脆弱性。これにより、リモート攻撃者が HTTP リクエストのトンネリングを通じて権限を昇格することが可能になります。

CVE-2023-48365 は、CVE-2023-41265 の不完全なパッチの結果であることに注意することが重要です。両方の脆弱性は CVE-2023-41266 とともに 2023 年 8 月下旬に公開され、CVE-2023-48365 の修正は 2023 年 9 月 20 日に実装されました。

観察された CACTUS Ransomware 攻撃では、特定された脆弱性が悪用され、Qlik Sense Scheduler サービスの悪用につながります。これにより、攻撃者は、永続性の確立とリモート コントロールの設定を目的として、追加のツールをダウンロードするように設計されたプロセスを生成できるようになります。

これらの攻撃に関与する追加ツールには、ManageEngine Unified Endpoint Management and Security (UEMS)、AnyDesk、Plink などがあります。特に、脅威アクターは、ソフォス ソフトウェアをアンインストールし、管理者アカウントのパスワードを変更し、Plink 経由で RDP トンネルを作成することが観察されています。攻撃チェーンは最終的に CACTUS ランサムウェアの展開につながり、攻撃者はデータの引き出しにもクローンを利用します。この包括的な攻撃戦略は、CACTUS ランサムウェア キャンペーンの洗練された多段階の性質を強調しています。

ランサムウェアの脅威アクターはテクニックを進化させている

CACTUS ランサムウェアの出現は、ランサムウェアの脅威の状況がますます洗練されていることを反映しています。地下経済は、初期アクセス ブローカーとボットネット所有者のネットワークを通じて大規模な攻撃をサポートするように進化してきました。これらの組織は被害者のシステムへのアクセスを複数の関連組織に転売し、ランサムウェアの脅威の拡大に貢献しています。

ランサムウェアと戦うための政府による世界的な取り組みにもかかわらず、Ransomware-as-a-Service (RaaS) ビジネス モデルは依然として、ターゲットから金銭を脅し取るための回復力と収益性の高い方法です。このモデルの寿命と収益性は持続するため、脅威アクターは適応して違法な活動を継続できます。

注目すべきランサムウェア グループの 1 つであるBlack Basta は、2022 年 4 月に登場し、90 人を超える被害者からのビットコイン身代金の支払いで 1 億 700 万ドルを超える不法利益を蓄積したと推定されています。最近の共同調査により、これらの資金のかなりの部分が、ヒドラダークネット市場との取引を容易にしたとして2022年4月に米国政府から制裁を受けたロシアの仮想通貨取引所Garantexを通じて洗浄されたことが明らかになった。

さらに、分析により、Black Basta と、Black Basta の出現とほぼ同時期に活動を停止した現在は消滅したロシアのサイバー犯罪グループConti とのつながりが明らかになりました。さらに、ランサムウェアの展開に使用されるツールであるQakBotとの関連も特定されています。この複雑な関係の網は、現代のランサムウェア活動の複雑で相互に関連した性質を強調しています。

トレンド

System-dating.top

Browser Hijackers, Rogue Websites
System-dating.topは、ユーザーが意図的に開くことはめったにない疑わしいサイトです。コンピュータやデバイスの内部に潜んでいるPUP(Potentially Unwanted Program)やスパムメールが原因で、不正な広告ネットワークを使用してサイトにアクセスした結果、このページに遭遇する可能性がはるかに高くなります。結局のところ、System-dating.topには訪問者...

IMIランサムウェア

Ransomware
IMIランサムウェアは、最近発見されたデータロックトロイの木馬の1つです。マルウェア研究者がこのトロイの木馬を見つけて調査すると、悪名高いDharma Ransomwareの変種であることがわかりました。 Dharma Ransomwareファミリーは、2019年に2番目にアクティブなランサムウェアファミリーであり、多数の犠牲者を出しました。ランサムウェアの脅威の作成と配布に手を出そうとする...

クイックビデオ検索

Adware
Quick Video Find アドウェアは疑わしいプログラムであり、セキュリティの専門家によって PUP または望ましくない可能性のあるプログラムとして識別されています。コンピューター システムのバックグラウンドで実行し、Web ページに侵入型の広告を表示し、知らないうちに同意なしに疑わしい Web サイトにユーザーをリダイレクトすることができます。 Quick Video Find ア...

最も見られました

画面を共有するとDiscordが黒い画面を表示するスクリーンショット

画面を共有するとDiscordが黒い画面を表示する

Issue
44,893
最初に立ち上げられたとき、Discord はゲーム コミュニティ向けの VoIP プラットフォームでした。しかし、その後数年間でその範囲を拡大し、多数の新機能を追加し、最大のソーシャル プラットフォームの 1 つになり、月間アクティブ ユーザー数は 1 億 4000 万人を超えました。現在、ユーザーはプライベート インスタント メッセージを送信したり、VoIP やビデオ通話を開始したり、コン...

「プリンタドライバが利用できません」エラーを修正する方法

Issue
38,239
プリンターは、ユーザーが最も必要としているときにいつでもジョブを実行することを拒否することで有名です。幸いなことに、お使いのプリンターに「プリンター ドライバーは使用できません」というエラーが表示されている場合は、問題を解決できる簡単な解決策がいくつかあります。この特定のエラーは、破損したドライバー ファイル、古いドライバー、またはドライバーの非互換性が原因である可能性があります。 Micr...
Lookmovie.io は安全ですか?スクリーンショット

Lookmovie.io は安全ですか?

Issue
34,766
Lookmovie.io は動画ストリーミング サイトです。問題は、コンテンツが違法にストリーミング配信されていることです。さらに、このサイトは不正な広告ネットワークを介して金銭的利益を生み出しています。その結果、ユーザーには疑わしい広告が表示されたり、Web ブラウザーで疑わしい Web サイトが開かれたりすることがよくあります。 実際には、違法に提供されたコンテンツを無視すれば、サイト自...
読み込んでいます...