MOVEit 転送がファイルをドロップするために悪用されました

アレックス・デラモット、ジェームス・ホーム著

SentinelOne は、MOVEit ファイル転送サーバー アプリケーションの脆弱性である CVE-2023-34362 の in-the-wild (ITW) 悪用を観察しました。 この攻撃では、影響を受ける Web サーバーと接続されている Azure BLOB ストレージ間の限定的な対話を可能にする Microsoft IIS .aspx ペイロードが配信されます。 6 月 5 日、Cl0p ランサムウェア グループがこれらの攻撃に対する犯行声明を出しましたが、SentinelOne は、ファイル転送アプリケーションの脆弱性を狙った行為は、2023 年初頭を通じて金銭目的の攻撃者によって行われた他の悪用に似ていると指摘しています。

この投稿では、攻撃チェーンの技術的な詳細と、MOVEit Transfer 脆弱性の悪用の可能性をスキャンするために使用できるハンティング クエリおよび PowerShell スクリプトを提供します。

SentinelOne は、2023 年 5 月の最終週から 6 月初旬にかけて、Progress Software の MOVEit Transfer ファイル サーバー アプリケーションの脆弱なバージョンを実行している Windows サーバーの積極的な悪用を観察しました。 この攻撃では、攻撃者がファイルの内容を窃取するために使用できる最小限の Web シェルが提供されます。これには、対象となる MOVEit インスタンスが Azure の BLOB ストレージ サービスを使用するように構成されている場合に、Microsoft Azure でホストされているファイルも含まれます。 6 月 5 日の時点で、Cl0p ランサムウェア グループがこれらのキャンペーンに対する犯行声明を出しました。

悪用はご都合主義である可能性が高いですが、SentinelOne は次の分野の 20 以上の組織に対する攻撃を観察しており、マネージド セキュリティ サービス プロバイダー (MSSP) とマネージド情報技術サービス プロバイダー (MSP) が最も頻繁に影響を受けています。

この脆弱性は、MOVEit Transfer の次のバージョンに影響します。

これらの攻撃は、MOVEit ファイル転送アプリケーションの脆弱なバージョンを実行している Windows サーバーに対して行われ、攻撃者はポート スキャンや Shodan などのインターネット インデックス サービスを通じて識別できます。

Progress Software は最近、権限昇格や対象環境への不正アクセスを可能にする可能性のある MOVEit Transfer の脆弱性について詳しく説明したアドバイザリを公開しました。 このアドバイザリでは、この問題について、CVE-2023-34362 として報告されている SQL インジェクションの脆弱性として詳細に説明しています。この脆弱性により、権限のない攻撃者が SQL コマンドをインジェクションし、対象のデータベースから情報を取得できる可能性があります。

攻撃チェーンはこの脆弱性を利用して、moveitsvc サービス アカウントを介してサーバーの \MOVEitTransfer\wwwroot\ ディレクトリへの任意のファイルのアップロードを実行します。 システムの svchost.exe プロセスは、Microsoft インターネット インフォメーション サービス (IIS) ワーカー プロセスである w3wp.exe を起動し、Temp の新しい作業ディレクトリにいくつかのファイルを書き込みます。 作業ディレクトリと後続のファイルは、同じ 8 文字の擬似ランダム命名構文を共有し、1 つの例では次のファイルを記述します。

w3wp.exe プロセスは csc.exe を起動して、C# コードをペイロードにコンパイルし、それが human2.aspx として保存されます。 ペイロードは、データベース構成に関する情報をクエリする最小限の Web シェルであり、攻撃者は次のことを可能にします。

ファイルを窃取するために、攻撃者は、Web シェルに対して行われたリクエストの HTTP ヘッダーでターゲット オブジェクトのファイル ID とフォルダー ID を指定できます。 その後、シェルは、指定されたファイルのコンテンツをサーバーの HTTP 応答で Gzip オブジェクトとして返します。 また、シェルは、おそらく永続化の手段として、「Health Check Service」という名前の既存のユーザーを削除し、同じユーザー名で新しいユーザーを作成します。

この記事の執筆時点では、SentinelOne は Web シェルの配置後のアクティビティを観察していません。

MOVEit Transfer を使用している組織は、影響を受けるシステムを直ちにアップグレードする必要があります。 アップグレードを実行できない状況では、アップグレードできるまでシステムをオフラインにする必要があります。 セキュリティ チームが、MOVEit Transfer を実行するサーバーからのアプリケーション ログ (Microsoft IIS ログなど) にアクセスして分析できるようにします。

悪用はアプリケーション レベルでの MOVEit Transfer との対話を通じて発生するため、Endpoint Detection & Response (EDR) ツールによる検出の機会は後の段階のアクティビティに限定されます。 SentinelOne は、各ペイロードが実行時に動的にコンパイルされ、その結果、被害者ごとに一意のハッシュが生成されると指摘しています。 これらのキャンペーンを通じて配信されたペイロードに関連付けられたハッシュのリストを提供していますが、組織はこれらの攻撃を検出するためにハッシュのみに依存すべきではありません。

MOVEit Transfer を使用している組織は、以下に提供されるリソースを使用して脅威ハンティングとログ分析を実施することをお勧めします。

SentinelOne は、組織がこれらの攻撃に関連するアクティビティを探すために使用できる次のクエリを提供しています。 これらのクエリには必ずしもすべての攻撃シナリオが含まれているわけではありませんが、結果を調査して優先順位を付ける必要があります。 さらに、防御側は、MOVEit Transfer サービス アカウントによって開始された異常なアクティビティを探す必要があります。デフォルト値は moveitsvc ですが、一部のインスタンスにはカスタム アカウント名が付いている場合があります。

これらのクエリに加えて、SentinelOne は MOVEit Transfer の脆弱性が悪用される可能性をスキャンするスクリプトを提供しています。

SentinelOne によって観察されたアクティビティに基づいて、攻撃者の目的は、できるだけ多くの被害者の環境へのアクセスを確立して、大規模なファイルの抽出を実行することであると考えられます。

Cl0p ランサムウェア グループがこれらの攻撃の功績を主張する一方で、SentinelOne は、これらの手法は、脆弱なファイル転送ソフトウェアを実行している Web サーバーに対する金銭目的の攻撃のより広範な傾向と一致していると指摘しています。 このカテゴリのアクティビティには、2023 年初めに IceFire ランサムウェアを配信した Aspera Faspex ソフトウェアに対する攻撃や、GoAnywhere マネージド ファイル転送 (MFT) アプリケーションのゼロデイ欠陥を悪用した Cl0p に起因すると考えられる攻撃が含まれます。 ゼロデイ エクスプロイトおよび N デイ エクスプロイトを使用するファイル転送サーバー攻撃が相対的に増加していることから、エンタープライズ ファイル転送アプリケーションに焦点を当てたエクスプロイト開発エコシステムが豊富に存在すると考えられます。

この活動が Cl0p ランサムウェア グループのみに関連付けられている場合、MOVEit の欠陥を使用して Azure クラウド ストレージ内のファイルをターゲットにするという攻撃者の選択は注目に値します。 Bianlian や Karakurt などのクラウドを中心とした恐喝行為者は、Rclone や Filezilla などの多目的ファイル管理ツールを使用しています。 標的の環境に固有の SQL クエリを通じて Azure ファイルを盗むように設計された特注の Web シェルは、この確立された標準からの顕著な逸脱を表しており、このツールが ITW 攻撃よりかなり前に開発およびテストされていた可能性が高いことを示唆しています。

脆弱な MOVEit Transfer インスタンスの悪用に関連するファイルには次のようなものがあります。

SHA1d013e0a503ba6e9d481b9ccdd119525fe0db765234d4b835b24a573863ebae30caab60d6070ed9aac8e03cb454034d5329d810bbfeb2bd2014dac16deee9451901badbf bcf9 20fcc5089ddc1ee4ec06d73f19114d61bd09789788782f407f6fe1d6530b97d91f5b03932793ff32ad99c5e611f1e5e7fe561a2f74b02f29f5b1a9fe3efe68c8f 48c 717be45c2c756c290729981d3804681e94b73d6f0be17914611608a031358817324568db9ece1f09e74de4719b8704c96436ffcbd93f954158fa374df05ddf7 f6

この記事が気に入りましたか? LinkedIn、Twitter、YouTube、または Facebook で私たちをフォローして、私たちが投稿するコンテンツをご覧ください。