コンサリは 新しいランサムウェアファミリー 現在、ApacheLog4jの重大な脆弱性を悪用しようとしています, CVE-2021-44228としても知られています, Log4ShellとLogjam.
ApacheLog4jの脆弱性: CVE-2021-44228
による 全国脆弱性データベース, 「ApacheLog4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.
小説Khonsariランサムウェアファミリー
Bitdefenderの研究者は最近、攻撃者がLog4jの脆弱性を悪用して悪意のあるペイロードを配信していることを観察しました, Windowsサーバーを標的とするこれまで知られていなかったKhonsariランサムウェアを含む.
コンサリの別の技術概要, Cadoの研究者は、次のように述べています。 hxxp://3.145.115[.]94/Main.class JNDI経由, 次に、Kohnsariランサムウェアをからダウンロードします hxxp://3.145.115[.]94/zambo / groenhuyzen.exe.」
研究者は、ランサムウェアのサンプルを取得して、静的およびフォレンジック分析を実行することができました。.
ランサムウェアはC#でコーディングされており、.NETFrameworkを使用しています. 逆コンパイルを介して簡単な方法でソースコードを取得します, ILspyなどのツールを使用する. 逆コンパイルしたら, ソースコードはマルウェアの機能が何であるかを明らかにします:
コンサリは–率直に言って–少し退屈です. それだけで重量を量る 12 KBであり、ランサムウェアの目的を実行するために必要な最も基本的な機能のみが含まれています. サイズとシンプルさも強みですが、マルウェアを動的に実行した時点では、アンチウイルスに組み込まれたシステムでは検出されませんでした。, カドの研究者は言った.
実行されると, ランサムウェアは、マウントされているすべてのドライブを列挙します, Cは別として:\, ドライブ上にあるすべてのコンテンツの暗号化を開始する. Cの暗号化は:\ ドライブはよりターゲットにされます–Khonsariはユーザーディレクターをターゲットにします, ドキュメントを含む, ビデオ, ピクチャー, ダウンロードとデスクトップ. 各ファイルは、AES-128CBCアルゴリズムを介して暗号化されます. 暗号化が終了したら, .khonsari拡張子は暗号化されたデータに追加されます.
CVE-2021-44228を使用したKhonsariランサムウェア
ランサムウェアは現在、重大なApacheバグを悪用しています. でも, この脆弱性に基づく攻撃は、追加の悪意のあるペイロードであるOrcusリモートアクセストロイの木馬もダウンロードしています。.
アメリカ. サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシーは、欠陥の積極的な悪用を開示したものでした.
「CISAとそのパートナー, 共同サイバー防衛コラボレーティブを通じて, アクティブを追跡して応答しています, 重大なリモートコード実行の脆弱性の広範な悪用 (CVE-2021-44228) ApacheLog4jソフトウェアライブラリバージョン2.0-beta9から 2.14.1. Log4jは、さまざまなコンシューマーおよびエンタープライズサービスで非常に広く使用されています, ウェブサイト, およびアプリケーション(およびオペレーショナルテクノロジー製品)は、セキュリティおよびパフォーマンス情報をログに記録します. 認証されていないリモートアクターがこの脆弱性を悪用して、影響を受けるシステムを制御する可能性があります,」CISAアラートは言った.
CVE-2021-44228へのパッチ適用は非常に推奨されます. CISAは ApacheLog4j脆弱性ガイダンス 重要な問題への対処を支援する.
7月に 2021, REvilランサムウェアギャングは、KaseyaのVSA製品の顧客に対して前例のないサプライチェーンランサムウェア攻撃を実行しました. 攻撃はに基づいていた CVE-2021-30116ゼロデイを悪用する.