Critical Atlassian Flaw Exploited to Deploy Linux Variant of Cerber Ransomware
Atlassian ConfluenceのサーバーにおけるCVE-2023-22518という重大な脆弱性が、Linuxバージョンの古いランサムウェアCerber(C3RB3R)の攻撃に悪用されていると報告しています。
攻撃の手口は以下の通りです。
- 脆弱性を利用して無認証でConfluenceをリセットし、管理者アカウントを作成する。
- 新しい管理者アカウントを悪用して、EfFluenceウェブシェルプラグインをインストールする。
- ウェブシェルを使ってCerberランサムウェアをダウンロード・実行する。
Cerberランサムウェアは、C++で書かれた古いランサムウェアです。主要なペイロードは、C&Cサーバーから追加のC++マルウェアを取得し、ファイルを.L0CK3D拡張子で暗号化します。しかし、Confluenceアプリは低権限ユーザーで実行されるため、暗号化できるデータは限られています。
記事では、このような脅威を効果的に軽減するため、ロバストなセキュリティ対策と従業員のサイバーセキュリティ意識の向上が必要であると強調しています。また、Cerberは古いものの洗練されたランサムウェアであり、軽視できない脅威であると指摘しています。
Table of contents
Atlassian の脆弱性を悪用した Cerber ランサムウェア攻撃
Atlassian Confluence Data Center および Server に存在する重大な脆弱性 (CVE-2023-22518) が悪用され、Linux 版 Cerber ランサムウェアが拡散しています。
攻撃の手口
- 攻撃者は脆弱性を利用して管理者アカウントを作成し、システムを乗っ取ります。
- Effluence というウェブシェルプラグインをインストールし、任意のコマンドを実行できるようにします。
- Cerber ランサムウェアをダウンロードして実行します。
Cerber ランサムウェアの特徴
- C++ で書かれたランサムウェアです。
- ファイルを暗号化し、.L0CK3D という拡張子を追加します。
- 身代金要求のメッセージを残します。
- データの窃取は行われません。
影響
- Confluence のデータが暗号化され、アクセスできなくなる可能性があります。
- システムが乗っ取られ、他の攻撃に利用される可能性があります。
対策
- Atlassian Confluence の脆弱性を修正するパッチを適用してください。
- 強力なパスワードを使用し、多要素認証を有効にしてください。
- 定期的にバックアップを作成し、安全な場所に保管してください。
その他
- Cerber ランサムウェアは比較的古いランサムウェアですが、依然として脅威となっています。
- ランサムウェア攻撃は増加傾向にあり、今後も注意が必要です。
Cerberランサムウェア
Cerberランサムウェア
・マルウェアの一種で、2016年頃から活動が確認されています。主にWindowsを標的としていましたが、この記事で紹介されているようにLinuxバージョンも存在します。
暗号化の手口としては、ファイルを.cerber3や.L0CK3Dといった特定の拡張子に変更し、AES暗号化やRSA暗号化を使用してデータを暗号化します。暗号化されたファイルは復号化できなくなり、身代金の支払いを要求するメッセージが表示されます。
Cerberの特徴の一つに、無作為に生成された長い暗号化キーをC&Cサーバーにアップロードする点があげられます。攻撃者がこの暗号化キーを保持しているため、ユーザーが身代金を支払わない限り、ファイルを復号できません。
また、Cerberはシステムの様々な部分を破壊・無効化し、バックアップや復旧を困難にします。さらに、スクリーンロッカー機能を備え、デスクトップ画面に身代金要求を表示することがあります。
Cerberは金銭を主な目的としていますが、初期のバリアントではデータの窃取も行われていました。身代金の要求額は通常1BitCoinから数百ドル相当です。支払期限を過ぎると要求額が増えたり、データが永久に失われる可能性があります。
Cerberの対策として、ソフトウェアのアップデート、バックアップの作成、ランサムウェア対策ソリューションの活用などが推奨されています。
Cerber WindowsとLinux の違い
それぞれのバージョンにはいくつかの違いがあります。
WindowsバージョンのCerberは、Windowsオペレーティングシステム上で動作します。
WindowsバージョンのCerberの特徴です:
- ファイル形式:WindowsバージョンのCerberは、主にEXE形式のファイルを使用します[1]。
- セキュリティ対策ソフトの回避:Cerberは、セキュリティ対策ソフトやファイアウォールなどの実行ファイルを回避するための手法を使用します[1]。
- サンドボックスの回避:Cerberは、仮想化ソフトやサンドボックスを回避するための手法を使用します[1]。
- バックアップ削除の有無:CerberのWindowsバージョンでは、バックアップの削除が行われる場合がありますが、検体によって異なる可能性があります[1]。
一方、LinuxバージョンのCerberは、Linuxオペレーティングシステム上で動作します。
LinuxバージョンのCerberの特徴です:
- ファイル形式:LinuxバージョンのCerberは、EXE形式のファイルを使用するのではなく、他の形式のファイルを使用する可能性があります。
- セキュリティ対策ソフトの回避:LinuxバージョンのCerberも、セキュリティ対策ソフトやファイアウォールなどの実行ファイルを回避するための手法を使用する可能性があります。
- サンドボックスの回避:LinuxバージョンのCerberも、仮想化ソフトやサンドボックスを回避するための手法を使用する可能性があります。
- バックアップ削除の有無:LinuxバージョンのCerberでも、バックアップの削除が行われる場合がありますが、検体によって異なる可能性があります。