Last Updated on 2024-09-27 06:53 by admin
BianLianの脅威アクターが、JetBrains TeamCityのセキュリティ上の欠陥を悪用してランサムウェア攻撃を行っていることが観察された。GuidePoint Securityによる新しい報告書によると、このインシデントはTeamCityサーバーの脆弱性を悪用し、BianLianのGoバックドアのPowerShell実装をデプロイすることから始まった。BianLianは2022年6月に登場し、2023年1月に復号化ツールがリリースされた後、完全にデータ抽出に基づく脅迫に移行した。サイバーセキュリティ会社によって観察された攻撃チェーンは、CVE-2024-27198またはCVE-2023-42793を使用して脆弱なTeamCityインスタンスを悪用し、初期アクセスを獲得し、ビルドサーバーに新しいユーザーを作成し、横方向の移動のための悪意のあるコマンドを実行することを含む。どちらの欠陥が侵入のために悪用されたかは現在明らかではない。BianLianアクターは、被害者ごとにカスタマイズされたGoで書かれたバックドアを植え付け、AnyDesk、Atera、SplashTop、TeamViewerなどのリモートデスクトップツールをドロップすることで知られている。このバックドアはMicrosoftによってBianDoorとして追跡されている。脅威アクターが標準のGoバックドアの実行に複数回失敗した後、土地を生かして生活する戦略に移行し、ほぼ同じ機能を持つPowerShell実装のバックドアを活用した。この難読化されたPowerShellバックドア(“web.ps1”)は、アクター制御サーバーへの追加のネットワーク通信のためにTCPソケットを確立するように設計されており、リモート攻撃者が感染したホスト上で任意のアクションを実行できるようにする。このバックドアは、[コマンドアンドコントロール]サーバーと通信し、リモート攻撃者のポストエクスプロイト目標に基づいて非同期に実行できることが確認された。この開示は、Atlassian Confluence Data CenterおよびConfluence Serverに影響を与える重要なセキュリティ上の欠陥(CVE-2023-22527)に対する新しい概念実証(PoC)エクスプロイトがVulnCheckによって詳細に説明されたことに続くもので、これによりファイルレスの方法でリモートコード実行が可能になり、Godzillaウェブシェルが直接メモリにロードされる。この欠陥は、過去2ヶ月間にC3RB3Rランサムウェア、暗号通貨マイナー、リモートアクセストロイの木馬を展開するために悪用されており、野生での広範な悪用が示されている。
【ニュース解説】
BianLianという脅威アクターが、JetBrains TeamCityというソフトウェアのセキュリティ上の欠陥を悪用してランサムウェア攻撃を行っていることが観察されました。この攻撃は、TeamCityサーバーの脆弱性を利用して開始され、BianLianのGo言語で書かれたバックドアのPowerShell実装をデプロイすることによって行われます。BianLianは2022年6月に登場し、2023年1月に復号化ツールがリリースされた後、データ抽出に基づく脅迫に完全に移行しました。
この攻撃では、CVE-2024-27198またはCVE-2023-42793という脆弱性を悪用してTeamCityインスタンスに初期アクセスを獲得し、その後ビルドサーバーに新しいユーザーを作成し、横方向の移動のための悪意のあるコマンドを実行します。どちらの脆弱性が具体的に悪用されたかは明らかではありませんが、BianLianアクターは被害者ごとにカスタマイズされたGo言語で書かれたバックドアを植え付けることで知られています。また、リモートデスクトップツールも使用されます。
この攻撃の特徴として、標準のGoバックドアの実行に複数回失敗した後、脅威アクターがPowerShell実装のバックドアに移行したことが挙げられます。このPowerShellバックドアは、TCPソケットを確立してアクター制御サーバーとの追加のネットワーク通信を可能にし、リモート攻撃者が感染したホスト上で任意のアクションを実行できるようにします。
このような攻撃は、企業や組織にとって深刻なセキュリティ上の脅威をもたらします。特に、開発環境やビルドサーバーが攻撃されることで、ソフトウェアの供給チェーンが危険にさらされる可能性があります。このため、ソフトウェアの開発や運用に関わる企業は、使用しているツールやプラットフォームのセキュリティパッチを常に最新の状態に保つこと、不正アクセスを検出するための監視体制の強化、従業員へのセキュリティ教育の徹底など、セキュリティ対策を強化する必要があります。
また、この攻撃は、セキュリティ上の脆弱性が発見された後、迅速に対応することの重要性を改めて示しています。脆弱性が公になると、それを悪用しようとする脅威アクターが現れるため、セキュリティの専門家や研究者は、脆弱性の発見と報告、修正のプロセスを迅速に進めることが求められます。このような攻撃から身を守るためには、セキュリティコミュニティ全体の連携と情報共有が不可欠です。
from BianLian Threat Actors Exploiting JetBrains TeamCity Flaws in Ransomware Attacks.
“【緊急警告】BianLianがJetBrains TeamCityの欠陥を突きランサムウェア攻撃を展開” への1件のコメント
この記事を読んで、サイバーセキュリティの問題がどれだけ深刻で複雑なものになっているかを改めて感じました。特に、開発環境やビルドサーバーのような、ソフトウェアの供給チェーンに密接に関連する部分が攻撃されることは、企業や組織だけでなく、最終的には私たち一般ユーザーにも影響を与える可能性があります。例えば、攻撃されたソフトウェアが私たちが普段使うアプリやサービスに組み込まれていた場合、個人情報の漏洩や機能不全などの被害に遭うかもしれません。
サイバーセキュリティの問題は、ITの専門家や企業だけの問題ではなく、社会全体で真剣に取り組むべき課題だと思います。私たち一般ユーザーも、パスワードの管理をしっかり行う、ソフトウェアのアップデートをこまめに行うなど、基本的なセキュリティ対策を心がけることが大切です。また、SNSやインターネットを利用する際にも、情報の出所を確認するなど、情報リテラシーを高める努力も重要だと感じます。
このような攻撃に対しては、企業や組織がセキュリティ対策を強化することはもちろん、セキュリティの専門