PaperCut の脆弱性がパッチされました
人気の印刷管理ソフトウェア ソリューションである PaperCut は、最近、ランサムウェア ギャングが積極的に悪用した 2 つの重大な脆弱性に直面しました。これらの脆弱性は現在、潜在的なリスクを排除するために同社によって修正されています。
目次
CVE-2023-27350: 認証されていないリモート コード実行の欠陥
この脆弱性の CVSS v3.1 スコアは 9.8 で、重大なリスク レベルを示しています。認証されていないリモート コード実行の欠陥により、攻撃者はいかなる種類の認証も行わずに脆弱なシステム上で任意のコードを実行することができ、機密データに無制限にアクセスでき、ネットワークを侵害できるようになります。この脆弱性の重大さにさらなる懸念を加えているのは、より多くのサイバー犯罪者がこの欠陥を簡単に悪用するためのガイドラインを提供する概念実証コードがリリースされたという事実です。
CVE-2023-27351: 認証されていない情報漏洩の欠陥
2 番目の脆弱性 CVE-2023-27351 の CVSS v3.1 スコアは 8.2 で、リスクが高いと考えられます。この欠陥により、認証されていない情報の漏洩が可能になり、攻撃者は有効な資格情報を必要とせずに機密データにアクセスできる可能性がありました。この脆弱性を悪用すると、サイバー犯罪者が貴重な情報を取得し、より正確な標的型攻撃に使用する可能性があります。リモート コード実行の欠陥ほど重大ではありませんが、この脆弱性は依然としてユーザーのセキュリティとプライバシーに重大な脅威をもたらします。
概念実証コードがリリースされました
一般に公開された概念実証 (PoC) コードにより、これらの脆弱性に関連するリスクが高まりました。この PoC コードは、潜在的な攻撃者が広範な技術知識がなくてもこれらの欠陥を悪用できるロードマップを提供しました。 PoC コードの公開は諸刃の剣です。これはセキュリティ上の欠陥についての認識を広め、セキュリティ研究者がパッチを開発するのに役立ちますが、同時に攻撃者に攻撃を実行するための青写真も提供します。これらの脆弱性に対してリリースされたパッチは、PaperCut ユーザーとそのネットワークのセキュリティを確保するために重要です。
PaperCut の脆弱性を悪用する悪意のある攻撃者
PaperCut の脆弱性が知られるようになると、さまざまなランサムウェアギャングがすぐにこれらの脆弱性を積極的に悪用し始めました。これらの悪意のある攻撃者の中には、Lace Tempest および LockBit ランサムウェア株が含まれており、どちらも脆弱な PaperCut サーバーをターゲットにしてネットワークに侵入し、ランサムウェア ペイロードを展開します。
脆弱なサーバーを標的としたレース テンペスト (Clop ランサムウェア アフィリエイト)
有名なClop ランサムウェアグループの関連会社である Race Tempest は、PaperCut の脆弱性を悪用した最初の悪意のある攻撃者の 1 つです。 Race Tempest は、認証されていないリモート コード実行と情報漏洩の欠陥を利用して、脆弱なサーバーを侵害し、機密データとネットワークへの無制限のアクセスを取得しました。これらの侵害されたシステムに侵入すると、Lace Tempest は Clop ランサムウェアを展開し、ファイルを暗号化し、復号キーを解放するための身代金を要求しました。
LockBit ランサムウェア株も PaperCut サーバーを標的に
もう 1 つの悪名高いランサムウェア株であるLockBitも、PaperCut サーバーの脆弱性を積極的に悪用しています。 Race Tempest の戦略と同様に、LockBit は認証されていないリモート コード実行と情報漏洩の欠陥を利用して、脆弱なシステムに侵入しました。 LockBit は機密データと内部ネットワークへのアクセスを利用してランサムウェア ペイロードを展開し、ファイルの暗号化と身代金の要求を引き起こしました。 LockBit や Race Tempest などの悪意のある攻撃者によるこれらの脆弱性の急速な導入は、これらの PaperCut の欠陥の深刻さを浮き彫りにし、サイバー脅威から保護するためにソフトウェアに定期的にパッチを適用し、更新することの重要性を強調しています。
レーステンペストの攻撃戦術
Clop ランサムウェアの関連会社である Race Tempest は、PaperCut サーバーの脆弱性を効果的に悪用する独自の攻撃戦術を開発しました。 PowerShell コマンド、コマンド&コントロール サーバー接続、Cobalt Strike Beacon などの高度な手法を採用することで、Lace Tempest はシステムに侵入し、ランサムウェア ペイロードを配信することに成功しました。
PowerShell コマンドを使用して TrueBot DLL を配信する
Race Tempest の攻撃は、多くの場合、PowerShell コマンドの実行から始まり、悪意のある TrueBot DLL (ダイナミック リンク ライブラリ) ファイルを標的のシステムに配信するために使用されます。この DLL ファイルはシステムにロードされ、コマンド アンド コントロール サーバーへの接続の確立や追加のマルウェア コンポーネントのダウンロードなど、さらなる悪意のあるアクティビティの構成要素として機能します。
コマンドアンドコントロールサーバーに接続します
TrueBot DLL が配置されると、Lace Tempest のマルウェアはコマンド アンド コントロール (C2) サーバーに接続します。この接続により、攻撃者はコマンドを送信し、侵害されたシステムからデータを受信できるようになり、データの引き出しが容易になり、追加のマルウェア コンポーネントやツール ( Cobalt Strike Beacon など) の展開が可能になります。
ランサムウェア配信に Cobalt Strike Beacon を利用する
レース テンペストは、攻撃チェーンの一部としてコバルト ストライク ビーコンをよく使用します。 Cobalt Strike は正規の侵入テスト ツールであり、「Beacon」と呼ばれるエクスプロイト後のエージェントが含まれています。残念ながら、Lace Tempest のようなサイバー犯罪者は、このツールを悪意のある目的のために再利用しています。この場合、彼らは Cobalt Strike Beacon を使用して、Clop ランサムウェアを標的のシステムに配信します。ランサムウェアが展開されると、システム上のファイルを暗号化し、復号キーの身代金を要求し、被害者のデータを事実上人質に取ります。
ランサムウェア作戦の変化
近年、Clop などのランサムウェア ギャングの活動には顕著な変化が見られます。攻撃者は現在、データの暗号化だけに頼って復号キーの身代金を要求するのではなく、恐喝目的で機密データを盗むことを優先しています。この戦術の変更により、悪意のある攻撃者がたとえ健全なバックアップ戦略を講じていたとしても、盗まれたデータを利用して被害者に身代金の支払いを強制できるようになるため、サイバー攻撃の脅威はさらに高まっています。
恐喝のためのデータ窃盗に焦点を当てる
ランサムウェア ギャングは、単に暗号化に頼って被害者を人質に取るよりも、恐喝目的でデータを盗んだほうが、より有利な結果が得られることに気づいています。攻撃者は機密情報を窃取することで、盗んだデータをダーク Web 上で公開または販売すると脅し、組織に重大な経済的および評判的損害を与える可能性があります。この追加の圧力により、被害者が要求された身代金を支払う可能性が高まります。
攻撃におけるデータ盗難の優先順位
この変化に合わせて、Lace Tempest のようなランサムウェア ギャングは、攻撃においてデータ盗難を優先し始めています。これらの悪意のある攻撃者は、PowerShell コマンド、TrueBot DLL、Cobalt Strike Beacon を使用するなどの高度な攻撃戦術を開発することで、脆弱なシステムに侵入し、データを暗号化する前に窃取することができ、恐喝が成功する可能性を効果的に高めます。
脆弱性を悪用してデータを漏洩したクロップギャングの歴史
Clop ギャングには、データ漏洩を目的として脆弱性を悪用した歴史があります。たとえば、2020 年には、Clop の工作員が Global Accellion のハッキングに成功し、同社の File Transfer Appliance アプリケーションの公開された脆弱性を利用して約 100 社のデータを盗みました。最近では、Clop ギャングは、安全なファイル共有プラットフォーム GoAnywhere MFT のゼロデイ脆弱性を利用して、130 社からデータを盗みました。データ盗難のために脆弱性を悪用するこのパターンは、進化し続けるランサムウェアの状況と相まって、組織が重要な資産を保護するために堅牢なセキュリティ対策を採用し、最新のソフトウェアを維持する必要性を浮き彫りにしています。