概要
脅威アクターは最近、深刻なApache ActiveMQの脆弱性(CVE-2023-46604)を利用して、Windows環境への深いアクセスを得て、リモートデスクトッププロトコル(RDP)を通じてLockBitランサムウェアを展開しました。
攻撃の詳細
CVE-2023-46604は、インターネットに公開されたApache ActiveMQサーバーで悪用され、Java OpenWireプロトコルの脆弱性を利用してリモートコード実行を達成しました。
攻撃手順
- 初期侵入:脅威アクターは、不正なJava Spring Bean設定XMLファイルをロードし、サーバーにCertUtilを使用してリモートホストからペイロードをダウンロードするように指示しました。
- 後続の活動:Metasploitステージャがダウンロードされ、攻撃者のコマンド&コントロール(C2)インフラに接続し、ActiveMQホストをビーチヘッドとして使用しました。
権限昇格と情報収集
- 権限昇格:攻撃者はGetSystemを使用してSYSTEM権限に昇格し、LSASSプロセスメモリから資格情報を抽出しました。
- ネットワークスキャンと横展開:SMBトラフィックの急増が観測され、ドメイン管理者アカウントを用いて複数ホスト上でMetasploitペイロードを実行し、LSASSメモリに再度アクセスしました。
持続性と防御回避
攻撃者はAnyDeskをインストールして持続性を確保し、RDPの設定変更やレジストリの変更を通じて防御を回避しました。また、一部のシステムではアクティブなアンチウイルスがMetasploitベースの横展開をブロックしました。
第二段階の侵入
18日後、脅威アクターは同じCVE-2023-46604を使用して再び攻撃を行い、ドメイン管理者グループメンバーシップを確認し、以前に収集した特権サービスアカウントを利用して横展開を行いました。
ランサムウェアの展開
RDPを使用してバックアップやファイルサーバーなど重要なシステムへのアクセスを行い、LockBitペイロードを展開しました。攻撃者は特定のパスとパスワードフラグを使用し、PsExecスタイルのスプレッダーオプションも利用しました。
結論
脅威アクターは約419時間(19日間)かけてランサムウェアを展開しましたが、再びネットワークにアクセスした後はわずか90分で大規模な暗号化が始まりました。