中国の APT ハッカーたちが Log4Shell を使って大規模な学術機関を攻撃

Chinese APT Hackers Used Log4Shell Exploit to Target Academic Institution

2021/12/30 The Hacker News — 中国を拠点とする新たな標的型侵入攻撃者である Aquatic Panda は、Apache Log4j ロギング・ライブラリの深刻な欠陥をアクセス・ベクターとして利用し、ターゲット・システム内での偵察や資格情報の収集などの、持続性のある攻撃のための準備を行っていることが観察されている。

サイバー・セキュリティ企業である CrowdStrike によると、この侵入は最終的に失敗に終わったが、大規模な学術機関を狙ったものだという。この国家支援グループは、2020年半ばから情報収集と産業スパイ活動を目的に活動しているとされ、主に通信/技術/政府機関を対象に攻撃を行っている。

今回の攻撃では、新たに発見された Log4Shell の不具合 (CVE-2021-44228 CVSS:10.0) を悪用し、デスクトップとアプリケーションの仮想化製品である VMware Horizon の脆弱なインスタンスにアクセスしている。その後に、リモート・サーバーにホストされている、脅威主体のペイロードを取得するために編成された、一連の悪意のコマンドを実行した。

研究者たちは、「Log4j エクスプロイトの修正バージョンが、脅威アクターの活動の過程で使用された可能性が高い」と指摘し、2021年12月13日に GitHub で公開されたエクスプロイトの使用が関係していると付け加えている。

Aquatic Panda の悪意の行動は、侵害されたホストの偵察を行うだけではなく、サードパーティ製のエンドポイント検出/応答サービスを停止させることから始まり、リバース・シェルを取得して認証情報を採取するために設計された、次の段階のペイロードを取得するまでに至っていた。

しかし、被害者である組織は、この事件について警告を受けた後に、「インシデント・レスポンス・プロトコルを迅速に実行し、最終的に脆弱なアプリケーションにパッチを適用し、ホスト上での脅威アクターの活動を防止することができた」と述べている。今回の攻撃は破壊されたが、攻撃者の意図は依然として不明である。

このブログでは、Aquatic Panda は初登場です。最近の中国からの攻撃に関する記事ですが、10月1日の「中国ハッキング・グループの Rootkit は Windows 10 をターゲットにスパイ活動を行う」や、10月19日の「中国由来のサイバースパイ:世界のテレコム・ネットワークから個人情報を窃取?」などがあります。また、中国と Log4Dhell を結びつける記事としては、12月24日の「CISA の Log4j 対策:Log4Shell による被害の範囲と深刻さを把握したい」がありました。→ Log4j まとめページ

%d bloggers like this: