Log4Shell 攻撃で最初のランサムウェアを検出:Khonsari はワイパー型マルウェアかも?

New ransomware now being deployed in Log4Shell attacks

2021/12/14 BleepingComputer — 脆弱性 Log4Shell が、ランサムウェアのダウンロード/インストールに使用されるという、最初の事例が研究者により発見された。先週の金曜日に、Java ベースのロギング・プラットフォーム Apache Log4j に存在する、Log4Shell (CVE-2021-44228) と名付けられた深刻なゼロデイ脆弱性に対するエクスプロイトが公開された。Log4j は、開発者が Java アプリケーションに対して、エラーやイベントのログを追加するための開発フレームワークである。

この脆弱性を悪用する脅威アクターが、特殊な 文字列を作成し、それを Log4j が 読み取ると、このプラットフォームに含まれる URL に接続が生じ、コードが実行される。したがって、攻撃者による脆弱なデバイスの検出は容易であり、また、リモートサイトや Base64 エンコードされた文字列を介して供給される、コードの実行が可能となる。

この脆弱性は、Log4j 2.15.0 で修正され、Log4j 2.16.0 ではセキュリティが強化されているが、コインマイナー/ボットネット/Cobalt Strike Beacon などの、さまざまなマルウェアをインストールするために、脅威アクターにり広く利用されている。

ランサムウェアをインストールする最初の Log4j エクスプロイト

昨日に BitDefender は、Log4Shell エクスプロイトを介して直接インストールされる、ランサムウェア・ファミリーを初めて発見したと報告した。このエクスプロイトは、hxxp://3.145.115[.]94/Main.class から Java クラスをダウンロードし、それを Log4j アプリケーションに実行させる。ロードが行われると、同じサーバーから .NET バイナリがダウンロードされ、Khonsari という名前の新しいランサムウェア [VirusTotal] がインストールされる。

この名前は、暗号化されたファイルの拡張子や、ランサム・ノートでも使用されている。BitDefender は、最新の攻撃においては、脅威アクターが同じサーバーを使用して、Orcus Remote Access Trojan を配布していると述べている。

ワイパーの可能性大

ランサムウェアの専門家である Michael Gillespie が BleepingComputer に語ったところによると、Khonsari は有効な暗号化を使用しており、それが安定しているため、無料でファイルを復元することは不可能だとのことだ。しかし、身代金メモには1つの奇妙な点があり、身代金を支払うために脅威アクターに連絡する方法が含まれていないようだ。Emsisoft のアナリストである Brett Callow が BleepingComputer に指摘したところによると、このランサムウェアは、脅威アクターの名前ではなく、ルイジアナ州のアンティークショップのオーナーにちなんで名付けられ、その連絡先を使用しているとのことだ。

そのため、このオーナーが、ランサムウェア攻撃の実際の被害者なのか、おとりとして記載されているのかは不明である。理由はともかく、脅威アクターの正当な連絡先が記載されていないことから、これはランサムウェアではなく、ワイパー型マルウェアであると考えられる。

Log4j のエクスプロイトが、ワイパー型マルウェアを直接インストールした例としては、これが初めてかもしれない。ただし Microsoft は、このエクスプロイトが Cobalt Strike Beacon の展開に使用されていることを、すでに確認しているとのことだ。したがって、より高度なランサムウェアを扱うオペレーターは既に、このエクスプロイトを攻撃の一部として使用している可能性が高いと考えられる。

単なる破壊だけを目的としたマルウェアのことを、ワイパー型マルウェアというらしいです。侵入に成功したら、直ちに破壊行為へと移行するわけですから、一番怖いですね。まず、Wiper というマルウェアがあり、その他には、Shamoon や Narilam といったものが在るようです。

%d bloggers like this: