悪名高い Black Basta 作戦を含むさらに多くのランサムウェア ギャングが、2024 年 2 月 19 日月曜日に公開された ConnectWise ScreenConnect ソフトウェア プラットフォームの 2 つの重大な脆弱性を悪用しているのが観察されています。
CVE-2024-1708 および CVE-2024-1709 はパス トラバーサルおよび認証バイパスの脆弱性で、CVSS スコアはそれぞれ 8.4 および 10 です。 ConnectWise はパッチを利用可能にしています。これらのパッチ、侵害の兆候 (IoC)、および脆弱なバージョンの詳細は、ここで見つけることができます。 これらは悪用するのは簡単ですが、非常に危険であると言われています。
2 月 23 日金曜日までに、LockBit の漏洩ビルドを使用する攻撃者 (ギャングの最近の問題を考えると、LockBit ではない可能性が高い) が、ランサムウェア攻撃で ConnectWise ScreenConnect の脆弱性を悪用し始めたことが明らかになりました。
本日 (2 月 27 日火曜日)、トレンドマイクロの研究者であるイアン ケネフィック氏、ジュネステリー デラ クルス氏、ピーター ギルナス氏は、これまでパッチを適用できなかった組織をターゲットに、ConnectWise ScreenConnect の脆弱性を利用して Black Basta および Bl00dy ランサムウェア ギャングが発見されたことを明らかにする新しいインテリジェンスを発表しました。
「当社のテレメトリーにより、多様な攻撃者グループが、ランサムウェアの導入から情報窃取やデータ引き出し攻撃に至るまで、幅広い戦術を用いて ConnectWise ScreenConnect の脆弱性を悪用していることが判明しました」とチームは開示通知の中で述べています。
「さまざまな侵入セットから発生するこれらのアクティビティは、これらの脆弱性からシステムを保護する緊急性を浮き彫りにしています。 これは、ScreenConnect ユーザーが効果的な防御戦略と迅速なパッチ適用を早急に行う必要があることをさらに強調しています。」
最近、英国のサザン・ウォーター公共事業システムを攻撃した Black Basta は、攻撃の最終段階を実行する前に、偵察、資産発見、特権昇格活動を実行するために、一部の環境に Cobalt Strike ビーコンを配備しているのが観察されました。
トレンドマイクロが特定していない別のグループは、PowerShell を使用して Windows Defender のリアルタイム監視機能を無効にしようとしていることが観察された後、追跡され、その後 Cobalt Strike も展開されました。
昨年、印刷管理ソフトウェア プラットフォームでゼロデイを通じて複数の標的を攻撃した Bl00dy の存在は、同グループが Conti と LockBit Black (LockBit 3.0) ロッカーの両方の漏洩ビルドを展開していることを観察した後、トレンドマイクロによって確認されました。
また、リモート アクセス、自己拡散機能、データ引き出しを提供し、追加のペイロードをダウンロードすることもできる多面的な XWorm マルウェアを使用して、ConnectWise ScreenConnect の脆弱性を悪用する脅威アクターも追跡されています。
「私たちはソフトウェアの最新バージョンへのアップデートが緊急であることを強調しています。 すぐにパッチを適用することは単に推奨されるだけではありません。 これらの特定された脅威からシステムを保護することは、重要なセキュリティ要件です」とトレンドマイクロ チームは書いています。
「これらの脆弱性が悪用されると、機密データが侵害され、業務が中断され、重大な経済的損失が発生する可能性があります。 攻撃者がこれらの弱点を積極的に利用してランサムウェアを配布しているという事実により、即時是正措置の緊急性がさらに高まっています。」
簡単に倒される
ConnectWise ScreenConnect の脆弱性が公開されて以来追跡しており、この 2 つの欠陥の重大性をいち早く認識したハントレス セキュリティの研究者らは、この脆弱性を悪用している攻撃者は簡単に阻止できるだろうと述べています。それ自体は何も新しいことはしていません。
「この信じられないほど興味深い ScreenConnect エクスプロイトは、ここ数日間、Huntress の私たちの多くを魅了しましたが、敵対者がこの新しいエクスプロイトと組み合わせることにコミットしなかったのは残念です」 新しい tradecraft」とハントレスチームは2月23日に公開されたアップデートで書いている。
ハントレス氏は、これまでに観察された侵害後の活動のほとんどは目新しいものでも独創的でも傑出したものではなく、単にほとんどの脅威アクターがそれほど洗練されておらず、手続き上の巧妙な手段を超えて何をすべきか実際にはわかっていないため、既知の行為に固執していると述べた。そして真のメソッド。 そのため、中途半端な有能なセキュリティ チームに簡単に打ち負かされてしまいます。