TellYouThePass ランサムウェアが復活:Log4Shell で Linux/Windows への攻撃を準備

TellYouThePass ransomware revived in Linux, Windows Log4j attacks

2021/12/17 BleepingComputer — 攻撃者たちが復活させたのは、TellYouThePass と呼ばれる、以前から存在しているアクティブではないランサムウェアであり、Apache Log4j ライブラリの深刻なリモートコード実行の脆弱性を標的とし、Windows および Linux デバイスへの攻撃のためにディプロイされている。KnowSec 404 Team の Heige は月曜日の Twitter で、Log4Shell と名付けられた脆弱性 CVE-2021-44228 を悪用するランサムウェアが、古い Windows システム上にドロップされたことを確認した後に、一連の攻撃を報告した。

この報告は、Sangfor Threat Intelligence Team により確認された。Curated Intelligence によると、Sangfor Threat Intelligence Team は、主に中国を標的とした Log4Shell 攻撃に使用された、TellYouThePass ランサムウェアのサンプルの1つを捕捉することに成功した。

このランサムウェアは SSH キーを取得し、被害者のネットワーク内を縦横無尽に移動するものであり、Linux バージョンが存在することが判明した (CronUP の Germán Fernández も確認)。Sangfor の研究者は、「TellYouThePass ランサムウェアが、高リスクの脆弱性を利用して攻撃することは、今回が初めてではなく、また、注目すべきことだ。昨年の時点では、Eternal Blue の脆弱性を利用して、複数の組織を攻撃していた」と述べている。

その他のセキュリティ研究者たちも、それらの攻撃に使われたランサムウェアのサンプルの1つを分析し、TellYouThePass ファミリーに属する可能性が高いとしている。ID Ransomware サービスへの投稿統計によると、TellYouThePas sランサムウェアは、Log4Shell PoC エクスプロイトが公開された後に、大規模かつ急激に活動を活発化している。

ランサムウェア攻撃に利用された Log4Shell

TellYouThePassは、Log4Shell 攻撃で使用された最初のランサムウェアではない。その動きが注目されたのは、金銭的な動機を持つ攻撃者による Monero マイナーの注入や、国家支援ハッカーによる攻撃の足場づくりのために、Log4Shell の悪用が開始された後のことである。

BitDefender は、Khonsari と名付けた新たなランサムウェア・ファミリー (Wiper とも呼ばれる) が、Log4Shell エクスプロイトを介して直接にインストールされることを発見したと最初に報告している。Microsoft 365 Defender Threat Intelligence Team も、Khonsari ランサムウェアのペイロードが、セルフホストの Minecraft サーバーにドロップされているのを確認している。

また、ランサムウェア Conti は、Log4Shell エクスプロイトを利用して、ターゲットのネットワークを横方向に移動し、VMware vCenter Server インスタンスにアクセスし、仮想マシンを暗号化している。

関連するニュースとして、12月17日に CISA は連邦民事行政機関に対して、12月23日までの6日間で、Log4Shell 脆弱性へのパッチを適用するよう命じている。また、先日にも CISA は、この欠陥を既知の脆弱性カタログに追加しており、連邦政府の各機関に対して、このバグを 12月24日 までに緩和するよう、迅速な対応を求めている。

TellYouThePass というランサムウェアが、Log4Shell 脆弱性を悪用し始めたという記事です。古い Windows システム上にランサムウェアをドロップしているとのことなので、そのようなシステムを使用している場合には、注意が必要になります。昨日には、「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」という記事をポストしています。今後も、このような記事が増えていくことになるのでしょう。→ Log4j まとめページ

%d bloggers like this: