ブログ(脅威調査)

501:(ランサムウェア)は実装されていません

*本ブログは、米FireEyeが公開した January 24, 2020 「Nice Try: 501 (Ransomware) Not Implemented」の抜粋版です。技術詳細を含むブログ全文は、英文記事をご参照ください。

進化し続ける脅威

2020年1月10日以降、FireEyeは、世界中に拡がるCVE-2019-19781の悪用を追跡しています。これは、パッチ緩和策が適用されていないCitrix ADCおよびGatewayインスタンスに引き続き影響を及ぼす脆弱性です。筆者らは少し前に、この脆弱性を悪用する攻撃者の迅速な試みと、1つの攻撃グループが、これまで確認されていなかったNOTROBINマルウェア・ファミリーを侵害後に展開したことについて報告しました。FireEyeでは、攻撃者が、脆弱性のあるCitrix ADCおよびGatewayインスタンスを特定した後で攻撃する方法に基づき、この脆弱性を悪用して攻撃を実施するグループを引き続き積極的に追跡しています。

この時点までに観察したCVE-2019-19781を悪用した攻撃の大半は、コインマイナーまたは最も一般的なNOTROBINの展開につなげていますが、最近の侵害は、この脆弱性がランサムウェアの展開にも悪用されているようです。組織が、CVE-2019-19781の悪用に関連する侵害の証拠の有無を評価する場合、FireEyeとCitrixが共同で公開したIOC Scanner(この記事で説明した攻撃を検出)を使用することを強くお勧めします。

<中略>

予想される結果

FireEyeは、CVE-2019-19781を利用しようとしている複数の攻撃者を引き続き監視しています。この記事では、複数のエクスプロイトを使用して脆弱な内部システムを悪用し、組織内で水平展開した1攻撃パターンについて概説しました。上記の観察に基づき、この攻撃者の最終的な意図は、Citrix Gatewayを中心にするランサムウェアの展開であった可能性があります。

前述したように、使用しているCitrixのアプライアンスが侵害されている可能性がある場合は、Citrixと共同でリリースしたFireEyeのツールを使用することをお勧めします。

 

日本語版:Reviewed by Takahiro Sajima