Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された

Night Sky ransomware uses Log4j bug to hack VMware Horizon servers

2022/01/11 BleepingComputer — ランサムウェア Night Sky が、Log4j ロギング・ライブラリに存在する深刻な脆弱性 CVE-2021-44228 (Log4Shell) を悪用し、VMware Horizon システムへのアクセスを開始した。このランサムウェアは、正規の企業を装ったドメインから、Web 上に公開されている脆弱なマシンを標的としており、その中にはテクノロジーやサイバー・セキュリティ分野の企業も含まれている。

攻撃は1月初旬に開始

セキュリティ研究を行う MalwareHunterTeam により、2021年12月下旬に発見された Night Sky ランサムウェアは、企業ネットワークのロックを狙っている。すでに複数の被害者を暗号化し、そのうちの1社に対して $800,000 の身代金を要求している。

月曜日に Microsoft は、DEV-0401 として追跡される中国の脅威アクターが、インターネット上に公開されている VMware Horizonシステムの Log4Shell を悪用し、ランサムウェア Night Sky を展開するという、新たなキャンペーンに関する警告を掲載した。

VMware Horizon は、クラウド上のデスクトップやアプリの仮想化に使用され、専用クライアントや Web ブラウザを介したリモート・アクセスを、ユーザーに対して提供している。また、管理者にとっては、仮想システム全体の管理や、セキュリティ・コンプライアンスなどの、自動化を向上させるためのソリューションとしても機能する。

VMware は、Horizon 製品群の Log4Shell にパッチを適用し、修正プログラムを含む新バージョン (2111/7.13.1/7.10.3) をインストールできない顧客に対しては、回避策を提供している。ただし、現時点では、修正プログラムを適用していない企業もあるという。

Microsoft は、「1月4日の時点で、攻撃者は VMware Horizon を実行しているインターネットに面したシステムで、CVE-2021-44228 の脆弱性を悪用し始めた。当社の調査によると、これらのキャンペーンで侵入が成功したことで、ランサムウェア Night Sky の展開につながっている」と述べている。

同社は、このグループが、過去において LockFile/AtomSilo/Rook などのランサムウェア・ファミリーを展開したことを検知していると付け加えている。

また、この脅威アクターによる過去の攻撃では、Atlassian Confluence (CVE-2021-26084) や、オンプレミスの Exchange Server (CVE-2021-34473 – ProxyShell) などの、インターネット接続されたシステムのセキュリティ問題を悪用されていた。Night Sky は、前述のランサムウェア・オペレーションを継続して行っていると考えられる。

Night Sky ランサムウェアの運用者は、サイバー・セキュリティ企業である Sophos や Trend Micro および、テクノロジー企業である Nvidia や Rogers Corporation などの、正規ドメインになりすました Command and Control サーバーに依存していると、Microsoft は指摘している。

魅力的な攻撃ベクター

オープンソースの Log4J コンポーネントが、数十社のベンダーから提供され多様なシステムに搭載されているため、国家レベルのハッカーやサイバー犯罪者にとって、Log4Shell は魅力的な攻撃ベクターとなっている。

このバグを利用して、認証なしでコードを実行するために必要となるのは、最小限の労力だけである。脅威アクターたちは、サイトへのアクセスや、特定文字列の検索を行うだけで、悪意のサーバーとの間でコールバック/リクエストを開始できる。

このセキュリティ上の欠陥により、パブリックなインターネットにさらされている脆弱なマシン上でのリモートからの悪用や、ローカルネットワーク上の悪意のインサイダーによる、機密性の高い内部システムへの横移動などが可能となる。

ランサムウェア Conti は、最初の PoC エクスプロイトが公開されてから僅か3日後の 12月12日に、Log4Shell を攻撃の手段として利用することに関心を示している。また、Khonsari と呼ばれる新たなランサムウェア・ギャングは、PoC が GitHub に公開された翌日に、このエクスプロイトの活用を開始した。Log4j のバグが公開されてから数日後には、複数の脅威アクターたちが Log4j バグを利用し始めた。最初に利用したのは暗号通貨の採掘者であり、その後に、国家に支援されたハッカーや、ランサムウェア・ギャングが続いている。

VMware の Log4j バグに関する3本目の記事です。 よろしければ、12月17日の「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」と、1月7日の「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」を、ご参照ください。そろそろ、本格的な攻撃が生じてもおかしくないタイミングだと思います。→ Log4j まとめページ

%d bloggers like this: