Log4J と攻撃者たち:IT/IoT/OT を狙うランサムウェア・ギャングから国家支援ハッカーまで

Attackers Target Log4J to Drop Ransomware, Web Shells, Backdoors

2021/12/15 DarkReading — 新たに公開された Log4j の脆弱性を利用して、ランサムウェア/リモートアクセス型トロイの木馬/Web シェルなどを、脆弱なシステム上に展開しようとするアクティビティが、少なくとも1つの国家機関を含む脅威アクターたちにより行われている。その一方で、複数のユーザー組織が、このログツールの脆弱性を含むバージョンをダウンロードし続けている。

今回の攻撃は、暗号通貨のマイニングツールのドロップや、ボットネットへの接続を目的とした、システムへの侵入を主な目的としていた初期の攻撃から、さらにエスカレートしたものだ。対象となるシステムは、サーバー/仮想マシン/PC/IP カメラなどである。火曜日には、ある国家機関による、この欠陥の利用の試みを示唆する動きを、CrowdStrike が観測したと発表しました。

CrowdStrike の Senior VP of Intelligence である Adam Meyers は、「CrowdStrike Intelligence は、イランを拠点とする国家支援アクターである NEMESIS KITTEN が、Log4j によりトリガーされる可能性のあるクラス・ファイルを、あるサーバーに新たに展開したことを確認し。そのタイミング/意図/機能は、敵対者が Log4j を悪用しようとするものと一致している」と付け加えている。Meyers は、NEMESIS KITTENについて、これまでも破壊的な攻撃を行ってきた敵対者であると説明している

今回の事態を受けて、Apache Foundation が12月10日にリリースした、Log4j ロギング・フレームワークの新バージョンへのアップデートや、Apache Foundation が推奨する緩和策の適用が急務であると、セキュリティ専門家たちは語っている。

Bitdefender の Director of Global Managed Detection and Response (MDR) である Daniel O’Neill は、「今まさに、パッチの適用/侵害指標の適用/脅威の検知への対応の更新が、すべての組織にとって重要だ」と述べている。

現時点では、Log4j の欠陥を利用した大半の攻撃のが、ゼロデイ脆弱性の最初の段階によく見られる日和見的なものだと、O’Neill は述べている。そして彼は、「しかし今後は、この欠陥が、より標的を絞った攻撃に悪用されることが予想される。より高度な攻撃者が、今のうちに足場を固め、この脆弱性を後の段階で悪用しようとするのは避けられない」と述べている。

広範なエクスプロイト活動

Bitdefender の研究者たちによると、Khonsari と呼ばれる新しいランサムウェア・ファミリーを配布するために、この欠陥を悪用しようとする攻撃者が観察されたそうだ。この攻撃では、悪意の .NET ファイルが用いられる。このファイルが実行されると、脆弱なシステム上の全てのドライブがリストアップされ、C: ドライブ以外の全てのドライブが完全に暗号化され、ドキュメント/ビデオ/ダウンロードなどの特定フォルダも暗号化される。

Bitdefender は、ランサムウェアの動きに加えて、エンタープライズ・ネットワーク上に足場を築き、Orcus と呼ばれる既知のリモートアクセス・トロイの木馬を脆弱なシステムに展開しようとしている攻撃者もを確認した。

O’Neill は、「リバース・バッシュ・シェルの試みも見られる。この技術は、攻撃者が後の悪用のためにシステムへの足場を得るために使用するものだ。このような脆弱なサーバーにリバース・シェルを導入することは比較的簡単であり、将来において本格的な攻撃が行われる可能性が高い」と警告している。

また、Bitdefender によると、Muhstik などの複数のボットネットが、バックドアの展開やボットネット・ネットワークの拡大のために、脆弱なサーバーを積極的に狙っているとのことだ。O’Neill は、「ボットネットの活動を監視することで、新たなリモートコード実行の危険性や、潜在的な攻撃規模を予測できる」と述べている。

リモートからの実行が可能な Log4j の欠陥 (Log4Shell) は、Java アプリケーションにおいて、ほぼ普遍的に使用されているロギング・フレームワークに存在するため、あらゆる分野において警戒されている。セキュリティ専門家たちは、この欠陥は比較的容易に悪用が可能であり、また、あらゆるシステムを完全に制御することができるため、深刻な問題であると考えている。

膨大なダウンロード数

Sonatype のデータ分析によると、このログツールは、Java コンポーネントのリポジトリである Maven Central から、これまでの4カ月間だけで 2,860万回ほどダウンロードされている。2021年11月には、Log4j のバージョン 2.x が、リポジトリに登録されている約710万個のアーティファクトのうち、ダウンロード数による人気度で上位 0.002% にランクインしている。そして、約7,000 のオープンソース・プロジェクトが、この脆弱性の影響を受けている。

Sonatype は、「このコードは、火星探査機に搭載されている Ingenuity ヘリコプターのコンポーネントにもなるほど、一般的なコードである」と述べている。Sonatype の CTO である Brian Fox によると、先週に Apache Foundation がこの脆弱性を公開して以来、修正版の Log4j が少なくとも 63万3,000件ダウンロードされているとのことだ。この数は着実に増加しているという。それでも、現時点でダウンロードされている Log4j-core の 65% は、このロギングツールの初期のバグを含んでいる。

Fox は、「既知の脆弱性を持つバージョンが、大量にダウンロードされているのは、決して異常なことではない。この問題が注目されているにもかかわらず、非常に多くの組織において、ポートフォリオ全体の使用状況が適切に把握されていないのだ」と述べている。

セキュリティ・チームが、自身の環境における Log4j の使用状況を、すべて把握しようと必死になっている一方で、開発中のソフトウェアのビルドは、前進し続けている。Fox は、「それが、世界中の消費量を見るときに、確認できる使用状況である」と述べている。

この脆弱性は、世界中の何十億ものデバイスを攻撃して危険にさらすという、かつてない機会を、攻撃者たちにもたらした。攻撃活動を追跡しているベンダーの1社である Akamai は、1時間あたり 250,000件の攻撃リクエストが継続して発生し、この脆弱性を悪用しようとする複数の亜種を観測したと、火曜日に発表した。これまでに発生した攻撃の 50% 以上が、既知の脅威アクターによるものであり、また、新たなエクスプロイトの亜種が進化するスピードは、かつて経験したことがないレベルだと、Akamai は述べている。

その一方で、IoT セキュリティ・ベンダーである Armis は、攻撃活動の 42% がサーバーを対象としており、そのうちの 27% が仮想マシンを対象としていることを明らかにした。また、比較的多く狙われているデバイスとしては、PC の 7% や、IPカメラの 12% などがあるが、これはやや珍しいことだと述べている。

Armis の調査によると、これまでのところ、OT 技術や製造環境に存在する、Programmable Logic Controllers (PLC)/Human Machine Interface (HMI) デバイスなどは、比較的標的にされていない。この脆弱性を悪用しようとするアクティビティのうち、製造用の PLC が対象となったのは僅か 2% であり、HMI が対象となったのは 1% だったという。

しかし、産業用制御システムのセキュリティ・ベンダーである Dragos は、今回の脆弱性により電力/製造/食品/飲料/輸送などの数多くの組織が、リモート操作による攻撃にさらされていると指摘する。なせなら、産業用アプリケーションで使用される、数多くのオープンソース・リポジトリに Log4j が存在するからだ。Dragos は、その例として、Object Linking and Embedding for Process Control (OPC) Foundation の Unified Architecture (UA) Java Legacy を挙げている。また、Java を使用しているSupervisory Control and Data Acquisition (SCADA) や Energy Management Systems (EMS) においても、Log4j の脆弱性を悪用される可能性があると、Dragos は警告している。

Dragos の VP of Threat Intelligence である Sergio Caltagirone は、「Log4j の脆弱性は、他のゼロデイと同様の悪用パターンを持っており、犯罪者グループが広く悪用するまでに約5~7日かかる。もちろん、Java はサイバー犯罪者にとって長い間、人気のプログラミング言語やプラットフォームではなかったことで、若干の学習曲線が必要になるだろう。しかし、脆弱な被害者の数を考えると、この事実が攻撃者の抑止力となるとは、あまり期待できないだろう」と述べている。

産業系システムで用いられる Programmable Logic Controllers (PLC) や Human Machine Interface (HMI)、そして Supervisory Control and Data Acquisition (SCADA) などでも、この Apache Log4j は利用されているのですね。チョット気になったので調べてみたら、SiemensSchneider などで Log4j に関するアドバイザリが見つかりました。ログを記録している、世界中の大半のシステムに影響が出ている感じがします。→ Log4j まとめページ

%d bloggers like this: