ハックティビストグループのDragonForceMalaysiaは、Windows Serverのローカル特権昇格(LPE)がローカル配布ルーター(LDR)機能へのアクセスを許可できるようにするエクスプロイトをリリースしました。 また、武器庫にランサムウェア攻撃を追加すると発表しました。
このグループは、23月XNUMX日に、エクスプロイトの概念実証(PoC)をTelegramチャネルに投稿しました。 CloudSEKによる分析 今週。 バグの既知のCVEはありませんが、このエクスプロイトを使用して、組織のさまざまな場所でローカルネットワークを相互接続するために使用されるLDRレイヤーにアクセスするために、認証を「リモートでXNUMX秒で」バイパスできるとグループは主張しています。
このグループは、操舵室に直接入るインドで事業を行っている企業を対象としたキャンペーンでこのエクスプロイトを使用すると述べています。 過去XNUMXか月の間に、DragonForce Malaysiaは、中東およびアジアの多数の政府機関および組織を対象としたいくつかのキャンペーンを開始しました。
ラドウェアのサイバー脅威インテリジェンス部門の調査責任者であるダニエル・スミスは、次のように述べています。 「他のハクティビストと組み合わせて、脅威グループは、ロシア/ウクライナ戦争に関連するハクティビストの復活の間、独立したままで、匿名によって残された空白をうまく埋めました。」
最新の「OpsPatuk」と呼ばれ、100月にリリースされたこのサイトでは、データ漏えいやサービス拒否攻撃の標的となった全国の政府機関や組織がすでにいくつか見られ、改ざんの数はXNUMXのWebサイトを上回っています。
「ドラゴンフォースマレーシアは、予見可能な将来にわたって、社会的、政治的、宗教的所属に基づいて、新しい反動キャンペーンを定義し、開始することが期待されています」とスミス氏は言います。 「DragonForceMalaysiaによる最近の運用は、世界中の組織に、これらの期間中は警戒を怠らず、現在の外部に脅威が存在することを認識している必要があることを思い出させる必要があります。 東ヨーロッパにおけるサイバー紛争に設立された地域オフィスに加えて、さらにローカルカスタマーサポートを提供できるようになります。」
LPEがパッチレーダーに搭載されるべき理由
リモートコード実行(RCE)ほど派手ではありませんが、 LPEエクスプロイト 通常のユーザーからSYSTEMへのパスを提供します。これは、基本的にWindows環境で最高の特権レベルです。 LPEの脆弱性が悪用されると、攻撃者はドアに足を踏み入れるだけでなく、ローカル管理者権限を提供し、ネットワーク上の最も機密性の高いデータにアクセスできるようになります。
この高度なアクセスレベルにより、攻撃者はシステムを変更したり、保存されたサービスから資格情報を回復したり、そのシステムを使用している、またはそのシステムに認証された他のユーザーから資格情報を回復したりできます。 他のユーザーの資格情報を回復すると、攻撃者はそれらのユーザーになりすまして、ネットワーク上で横方向に移動するためのパスを提供する可能性があります。
特権を昇格させると、攻撃者は管理タスクの実行、マルウェアの実行、データの盗用、バックドアの実行による永続的なアクセスの取得などを行うことができます。
CloudSEKの主な脅威研究者であるDarshitAsharaは、XNUMXつのサンプル攻撃シナリオを提供しています。
「チームの攻撃者は、単純なWebアプリケーションベースの脆弱性を簡単に悪用して、最初の足掛かりを得て、Webベースのバックドアを配置することができます」とAshara氏は言います。 「通常、Webサーバーがホストされているマシンにはユーザー権限があります。 ここで、LPEエクスプロイトにより、攻撃者はより高い特権を取得し、単一のWebサイトだけでなく、サーバーでホストされている他のWebサイトを侵害することができます。」
LPEエクスプロイトはパッチが適用されないままになることがよくあります
情報セキュリティコンサルティング会社であるLARESConsultingの敵対エンジニアリングディレクターであるTimMcGuffinは、ほとんどの組織はLPEエクスプロイトにパッチを適用するのを待っていると説明しています。これは、通常、最初にネットワークまたはエンドポイントへの初期アクセスが必要になるためです。
「最初のアクセスの防止には多くの努力が払われていますが、攻撃チェーンに入るほど、特権の昇格、横方向の動き、持続性などの戦術にかかる努力は少なくなります」と彼は言います。 「これらのパッチは通常、四半期ごとに優先順位が付けられ、パッチが適用され、緊急の「今すぐパッチ」プロセスを使用しません。」
DigitalShadowsの上級サイバー脅威インテリジェンスアナリストであるNicoleHoffmanは、LPEであろうとRCEであろうと、すべての脆弱性の重要性は異なると述べています。
「すべての脆弱性を悪用できるわけではありません。つまり、すべての脆弱性に早急な対応が必要なわけではありません。 それはケースバイケースです」と彼女は言います。 「いくつかのLPEの脆弱性には、攻撃を実行するためにユーザー名とパスワードが必要になるなど、他の依存関係があります。 それを取得することは不可能ではありませんが、より高度なレベルが必要です。」
多くの組織は、個々のユーザーのローカル管理者アカウントも作成しているため、独自のソフトウェアを自分のマシンにインストールするなど、日常のIT機能を実行できます。
「多くのユーザーがローカル管理者権限を持っている場合、ネットワーク内の悪意のあるローカル管理者アクションを検出することはより困難です」と彼女は言います。 「広く使用されているセキュリティ慣行が不十分なため、攻撃者が通常の操作に溶け込むのは簡単です。」
彼女は、エクスプロイトが公開されるたびに、さまざまなレベルの高度なサイバー犯罪者が悪用して日和見攻撃を実行するのにそれほど時間はかからないと説明しています。
「エクスプロイトはこのレッグワークの一部を取り除きます」と彼女は指摘します。 「現実的には、この脆弱性に対してマススキャンがすでに行われている可能性があります。」
Hoffmanは、垂直特権の昇格にはより高度な機能が必要であり、通常は高度な持続的脅威(APT)手法に沿っていると付け加えています。
DragonForce計画はランサムウェアに移行します
ビデオやソーシャルメディアチャネルを通じて、ハクティビストグループも開始する計画を発表しました 大量のランサムウェア攻撃を実行する。 研究者たちは、これは出発ではなく、ハクティビスト活動の補助となる可能性があると述べています。
「DragonForceは、彼らが作成したエクスプロイトを利用して広範なランサムウェア攻撃を実行することに言及しました」とホフマンは説明します。 「WannaCryランサムウェア攻撃は、金銭的利益が最終目標である場合に、広範囲にわたるランサムウェア攻撃がすべて同時に困難であるという好例でした。」
彼女はまた、サイバー犯罪の脅威グループからのこれらの発表を見るのは珍しいことではないことを指摘します。それはグループに注目を集めるからです。
しかし、マクガフィンの観点からは、戦術の転換の公の発表は、特にハクティビストグループにとって「好奇心」です。
「彼らの動機は、破壊とサービス拒否にあり、典型的なランサムウェアグループのように利益を上げることではないかもしれませんが、ハクティビストの能力や原因の認識を高めるために資金を使用している可能性があります」と彼は言います。
アシャラは、グループの動機が可能な限り多くの影響を引き起こし、彼らのイデオロギーを高め、彼らのメッセージを広めることであるため、ドラゴンフォースの計画されたシフトは強調する価値があることに同意します。
「したがって、ランサムウェアの発表によるグループの動機は、金銭的な理由ではなく、損害を引き起こすことです」と彼は言います。 「過去に、ランサムウェアを使用して動機が金銭的なふりをする同様のワイパーマルウェアを見たことがありますが、根本的な動機は損害です。」
