Geng Conti Ransomware Memiliki Rantai Serangan Log4Shell Lengkap

Geng ransomware Conti, yang minggu lalu menjadi perangkat kejahatan profesional pertama yang mengadopsi dan mempersenjatai kerentanan Log4Shell, kini telah membangun rantai serangan holistik.

Grup Conti berbasis di Rusia yang canggih – yang oleh Palo Alto Networks disebut “salah satu yang paling kejam” dari lusinan kelompok ransomware yang saat ini diketahui aktif – berada di tempat yang tepat pada waktu yang tepat dengan alat yang tepat ketika Log4Shell muncul 10 hari yang lalu, kata perusahaan keamanan Advanced Intelligence (AdvIntel) dalam sebuah laporan yang dibagikan dengan Threatpost di Kamis.

Pada hari ini, Senin, 20 Desember, rantai serangan telah mengambil bentuk sebagai berikut, Yelisey Boguslavskiy dari AdvIntel mengatakan kepada Threatpost: Emotet -> Cobalt Strike -> Human Exploitation -> (tidak ada pembagian ADMIN$) -> Kerberoast -> brute -> vCenter ESXi dengan log4shell memindai vCenter.

Attack Chain

Melangkah melalui rantai serangan itu:
Emotet adalah botnet yang muncul kembali bulan lalu di belakang TrickBot, sekarang dengan a kemampuan untuk menginstal secara langsung …

Cobalt Strike, alat yang sah dan tersedia secara komersial yang digunakan oleh penguji penetrasi jaringan pada perangkat yang terinfeksi dan diadopsi secara luas oleh penjahat dunia maya. Ini memberi aktor ancaman akses langsung ke target dan, menurut Boguslavskiy, mendahului…

Human Exploitation, diikuti oleh…

Missing ADMIN$ share. Pembagian administratif adalah pembagian jaringan tersembunyi yang dibuat oleh sistem operasi Microsoft Windows NT yang memberikan akses jarak jauh kepada administrator sistem ke setiap volume disk pada sistem yang terhubung ke jaringan. Seperti yang dikatakan Microsoft, “Bagian administratif yang hilang biasanya menunjukkan bahwa komputer yang dimaksud telah disusupi oleh perangkat lunak berbahaya.” Selanjutnya datang …

Kerberoast. Kerberoasting, serangan umum dan meluas yang mengeksploitasi kombinasi enkripsi yang lemah dan kebersihan kata sandi akun layanan yang buruk, adalah serangan pasca-eksploitasi yang mengekstrak hash kredensial akun layanan dari Active Directory untuk peretasan offline. Setelah kredensial ada di tangan, langkah selanjutnya adalah …

Brute forcing. Serangan brute-force diluncurkan dengan serangkaian kredensial yang dimasukkan oleh aktor ancaman dengan cerdik, secara sistematis memeriksa semua kemungkinan kata sandi dan frasa sandi hingga mereka menemukan kecocokan. Geng Conti minggu lalu telah memusatkan perhatian pada … server

VMware vCenter. Pada Rabu, 15 Desember, Conti sedang mencari jaringan VMWare yang rentan untuk akses awal dan pergerakan lateral. Server VMware berada dalam daftar panjang yang mencemaskan dari komponen dan vendor yang terpengaruh yang produknya ditemukan rentan terhadap Log4Shell.

Dalam dua hari setelah pengungkapan kerentanan publik di perpustakaan logging Log4j Apache pada 10 Desember – bug yang muncul di bawah serangan dalam beberapa jam – Anggota grup Conti sedang mendiskusikan bagaimana mengeksploitasinya sebagai vektor serangan awal, menurut AdvIntel.

Apache menambal bug pada 11 Desember, tetapi tambalannya, Log4J2, ditemukan tidak lengkap dalam konfigurasi non-default tertentu dan membuka jalan bagi serangan denial-of-service (DoS) dalam skenario tertentu. Jika dua bug tidak cukup, bug lain yang serupa tetapi berbeda ditemukan minggu lalu di perpustakaan logging Log4J. Apache mengeluarkan patch pada hari Jumat.

Conti Mengakhiri Mesin Eksploitasinya

Menurut tulisan AdvIntel hari Kamis, dari Vitali Kremez dan Yelisey Boguslavskiy, beberapa anggota grup Conti pada 12 Desember mulai mengobrol tentang mengeksploitasi kerentanan Log4Shell sebagai vektor serangan awal. Hal itu menyebabkan pemindaian sistem rentan yang pertama kali dilacak AdvIntel pada hari berikutnya, pada 13 Desember. “Ini adalah pertama kalinya kerentanan ini memasuki radar grup ransomware besar,” menurut artikel tersebut. Penekanannya adalah pada “utama”, mengingat bahwa grup ransomware pertama yang menargetkan Log4Shell adalah pendatang baru ransomware bernama Khonsari. Seperti yang dilaporkan Microsoft, Khonsari mengunci pemain Minecraft melalui server tidak resmi. Pertama kali ditemukan oleh Bitdefender dalam serangan Log4Shell, catatan permintaan ransomware tidak memiliki cara untuk menghubungi operator untuk membayar uang tebusan. Itu berarti Khonsari lebih merupakan penghapus, dimaksudkan untuk menjebak pengguna Minecraft dengan menghapus server mereka, daripada ransomware.

Khonsari ransomware hanyalah satu malware yang dilemparkan ke server yang rentan selama kisah Log4j. Dalam beberapa jam setelah pengungkapan cacat tersebut kepada publik, penyerang memindai server yang rentan dan melepaskan serangan yang berkembang pesat untuk menjatuhkan penambang koin, Cobalt Strike, trojan akses jarak jauh Orcus (RAT). membalikkan bash shell untuk serangan di masa mendatang, Mirai dan botnet lainnya, dan backdoors.

A Perfect Storm

Log4Shell telah menjadi titik fokus bagi pelaku ancaman, termasuk tersangka aktor negara yang telah diamati menyelidiki Log4j2, catat peneliti AdvIntel. Garis waktu terkompresi dari pengungkapan publik diikuti dengan cepat oleh minat dan eksploitasi aktor ancaman mencontohkan lintasan dipercepat ancaman yang disaksikan sejak keluarga bug ProxLogon di Exchange Server pada bulan Maret dan serangan berikutnya, mereka berkata: “jika suatu hari CVE utama terlihat oleh APT, minggu depan ia dipersenjatai oleh ransomware,” menurut writeup mereka.

Tetapi dari semua aktor ancaman, Conti “memainkan peran khusus dalam lanskap ancaman saat ini, terutama karena skalanya,” jelas mereka. Ini adalah organisasi yang sangat canggih, terdiri dari beberapa tim. AdvIntel memperkirakan bahwa, berdasarkan pemeriksaan log Conti, geng berbahasa Rusia menghasilkan lebih dari $150 juta selama enam bulan terakhir.

Tetapi mereka terus berkembang, dengan Conti terus mencari permukaan dan metode serangan baru.

AdvIntel mencantumkan sejumlah Conti inovasi sejak Agustus, termasuk:

    Pintu belakang rahasia: Agen Atera Conti memungkinkan geng untuk mendapatkan kegigihan di lingkungan terlindungi yang terinfeksi: terutama yang dilengkapi dengan penahanan titik akhir pembelajaran mesin yang lebih agresif dan produksi anti-virus respons. “Solusi manajemen TI memungkinkan pemantauan, pengelolaan, dan otomatisasi ratusan jaringan TI UKM dari satu konsol,” AdvIntel menjelaskan dalam laporan bulan Agustus.

    Solusi penghapusan cadangan baru yang memperluas kemampuan Conti untuk meledakkan pencadangan.

    Seluruh operasi untuk menghidupkan kembali Emotet, yang muncul kembali pada bulan November.

Tulisan ini membagikan garis waktu pencarian Conti untuk vektor serangan baru, ditunjukkan di bawah ini.
Garis waktu pencarian Conti untuk vektor serangan baru. Sumber: AdvIntel.

Menjaga Kepala Anda Di Atas Air Logjam

AdvIntel membagikan rekomendasi dan mitigasi yang disarankan ini untuk Log4Shell:

    Pusat Keamanan Siber Nasional Belanda membagikan daftar perangkat lunak yang terpengaruh dan rekomendasi yang ditautkan ke masing-masing perangkat lunak tersebut di GitHub.

    Berikut adalah petunjuk penyelesaian masalah VMWare untuk alamat CVE-2021-44228 di vCenter Server dan vCenter Cloud Gateway (87081).

Kapan Semuanya Akan Berakhir?

Lou Steinberg, mantan chief technology officer di TD Ameritrade, mengatakan ini belum berakhir sampai semuanya berakhir, “Dan ini belum berakhir. ”

“Kami tidak tahu apakah kami menambal sistem setelah mereka disusupi dari Log4J, jadi mungkin perlu beberapa saat sebelum kami tahu seberapa buruknya,” katanya dalam sebuah artikel yang dibagikan kepada Threatpost, Senin. “Ini akan terjadi lagi. Perangkat lunak dan sistem modern dibangun dari komponen yang tidak selalu dapat dipercaya. Lebih buruk lagi, aktor jahat mengetahui hal ini dan berusaha menumbangkan komponen untuk menciptakan jalan ke perangkat lunak yang tepercaya.”