Microsoft 警告:国家に支援されたハッカーたちが Log4j 悪用を開始

Nation-state hackers aim to exploit Log4j software flaw, Microsoft warns

2021/12/15 CyberScoop — 火曜日に、Microsoft の Threat Intelligence Team が発表したところによると、中国/北朝鮮/イラン/トルコの政府に関連するハッカーたちが、Apache Log4j の脆弱性を利用する方法を模索しているとのことだ。この脆弱性を利用して、米国の連邦政府機関を標的した例はないが、依然として攻撃を警戒していると、Cybersecurity and Infrastructure Security Agency (CISA) が述べている。

ただし、Microsoft の警告が出されたのは、CISA の発言があった日と、同日なのだ。また、CISA の関係者は、数億台のデバイスが潜在的に危険にさらされていると、以前に語っていた。

Microsoft の発表によると、同社のアナリストは、すでに存在が確認されている、複数の国家支援ハッキング・グループが、この脆弱性を悪用しているのを確認しており、その活動は実験的なものから、標的を有効利用する活発なキャンペーンまで、多岐に渡るという。この脆弱性は非常に深刻なものであり、攻撃が成功するケースでは、侵害されたシステムが乗っ取られる可能性があると、コンピュータ・セキュリティの専門家たちは警告している。

Microsoft が Phosphorus と呼んでいるイランのグループは、Charming Kitten という別名で知られているが、最近はランサムウェアを展開しており、Log4j を悪用するツールを修正しているとアナリストたちは述べている。また、中国の HAFNIUM というグループも、この脆弱性を悪用し、仮想化インフラを攻撃していることが確認されている。

サイバー・セキュリティ企業である Mandiant も、この二国からの活動を確認していると、同社の VP of Intelligence Analysis である John Hultquist は述べている。同氏は、「これらのグループは、以前から標的としてきた組織を狙って活動する可能性が高いが、脆弱性が公開された結果として、新たな標的を見つけ出す可能性もある」と述べている。

また、Log4j の悪用に取り組んでいるイラン人の容疑者は、「金銭的な利益よりも破壊的な目的で実行される、特に攻撃的なランサムウェアの運用に参加したことがある」と述べている。

サイバー・セキュリティ企業である Bitdefender によると、この脆弱性は、ボットネット活動の一部としても観測されている。月曜日に同社は、この脆弱性を利用したハニーポットへの攻撃を確認したと報告しているが、実際の攻撃で確認されたのは、その大半がクリプト・ジャッキングに関連していると思われるものだと述べている。この種の攻撃は、ターゲットのシステムを使って、同意なしに悪意の暗号通貨マイニングを実施するものだ。

Bitdefender は、Khonsari ランサムウェアの亜種に、この脆弱性を組み込もうとする試みも検出している。

先程のポスト「Log4j の2つ目の脆弱性 CVE-2021-45046 が悪用されている:3つ目の脆弱性も浮上してきた」と重複する部分がありますが、メディアごとに掘り下げ方が異なりますね。すでに、HAFNIUM などによる攻撃が始まっているようですが、それらは氷山の一角に過ぎないのでしょう。→ Log4j まとめページ

%d bloggers like this: