Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める

Conti ransomware uses Log4j bug to hack VMware vCenter servers

2021/12/17 BleepingComputer — Conti のランサムウェアは、深刻な脆弱性である Log4Shell を利用して、組織内の VMware vCenter Server インスタンスに素早くアクセスし、仮想マシンを暗号化している。Conti は、この新しい攻撃手法の具体化に時間をかけることなく、Log4j の脆弱性を武器にした、最初の一線級のランサムウェア・ギャングとなった。

脆弱性のある vCenter に照準を合わせる

12月9日 に、Log4Shell CVE-2021-44228 の PoC エクスプロイトが公開された。その翌日には、インターネット上で大量のスキャンが開始され、複数のアクターが脆弱なシステムを探索し始めた。このバグを最初に利用したのは、暗号通貨マイナーやボットネットだが、Khonsari と呼ばれる新しいランサムウェアもあった。

12月15日になると、Log4Shell を悪用する脅威アクターは、国家に支援されたハッカーからイニシャル・アクセス・ブローカーにまで拡大し、後者からはランサムウェア・ギャングがネットワーク・アクセスを購入する道が開かれる。

12月12日 (日) には、数十人のメンバーで構成される最大級のランサムウェア・ギャングである Conti も、Log4Shell が攻撃の手段になり得ると判断し、興味を持ったようであり、新しい被害者を探し始めた。

サイバー・セキュリティ企業である AdvIntel が BleepingComputer に語ったところによると、このギャングは翌日から新たな被害者を探し始め、VMware vCenter ネットワーク内での横移動を目指し始めたとのことだ。

数十社のベンダーが Log4Shell の影響を受け、それぞれの製品へのパッチ適用や、顧客へ向けた回避策や緩和策の提供を開始している。VMware も、その中の1社であり、40種類の脆弱な製品を挙げている。同社は緩和策や修正プログラムを提供しているが、影響を受けた vCenter のバージョンに対するパッチはまだ提供されていない。

通常、vCenter Server は、インターネット上に公開されていないが、この問題を攻撃者が利用できる可能性がある。つまり、影響を受ける VMware 製品にネットワー・クアクセスが可能な脅威アクターであれば、この問題を悪用してターゲット・システムを完全に制御し、また、サービス拒否攻撃を行うことも可能なのだ。AdvIntel によると、Conti ランサムウェア・ギャングのメンバーは、公開されている Log4Shell エクスプロイトを、彼らの活動に利用することに、興味を示していたようだ。

Log4Shell は横方向に移動する

AdvIntel が BleepingComputer と共有したレポートには、「この脆弱性が主要なランサムウェア・グループのレーダーに入ったのは、今回が初めてだ。今回のエクスプロイトは、Conti グループが Log4J エクスプロイトの可能性をテストする、複数のユースケースにつながった」と指摘している。

多くの防御者は、インターネットに露出しているデバイスでの、Log4Shell 攻撃をブロックすることに注力しているが、Conti ランサムウェアの運用においては、あまり注目されていない内部デバイス上の、この脆弱性が標的になることが示されている。研究者たちは、Conti ランサムウェアのアフィリエイトが、すでにターゲット・ネットワークに侵入し、脆弱な Log4j マシンを悪用し、vCenter サーバーにアクセスしていることを確認した。

つまり、Conti ランサムウェアのメンバーは、初期アクセス・ベクター (RDP/VPN/E メール・フィッシング) を介してネットワークを侵害し、現在は Log4Shell を用いてネットワーク上を横方向へと移動していることになる。

Conti はロシア語を話すグループであり、悪名高い Ryuk の後継者としてランサムウェア・ビジネスに長く関わってきた。このグループは、数百件の攻撃を行っており、そのデータリーク・サイトには、身代金を支払わなかった 600社以上の被害者が掲載されている。それに加えて、身代金を支払い、データを解読してもらった企業もある。

サイバー・セキュリティ企業の Group-IB は、ランサムウェア被害者の約 30%が、攻撃者に対して身代金を支払い、提供される復号化ツールによるファイル復元を選択していると推定される。

先日に、オーストラリアの Australian Cyber Security Centre (ACSC) が、同国内の組織を標的としたランサムウェア Conti に関する注意喚起を発表した。その被害者の1社は、電力会社の CS Energy だ。また、オーストラリア政府に給与計算ソフトを提供している Frontier Software も Conti の被害に遭い、数万人の政府職員のデータが流出する事態となった。さらに最近では、米国オレゴン州とワシントン州にある、ビール醸造所とホテル・チェーンの McMenamins も被害に遭っている。

ランサムウェア Conti は、2020年6月から、この名前で活動している。AdvIntel の情報によると、同グループは過去6カ月の間に、被害者から $150 million を窃取している。

Conti と Log4Shell が並ぶと、なんか嫌な予感がしますね。最近の Conti の動きとしては、「Emotet ボットネットの復活をお膳立てする Conti ランサムウェアの役割とは?」や、「Conti ランサムウェアが7月以降で稼いだ 30億円:その金の流れを追跡する」、「FBI/CISA/NSA 警告:Conti ランサムウェア攻撃が猛威を奮っている」などの記事をポストしています。よろしければ、ご参照ください。→ Log4j まとめページ

%d bloggers like this: