VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦

Initial Access Broker Involved in Log4Shell Attacks Against VMware Horizon Servers

2022/01/26 TheHackerNews — Prophet Spider として追跡されているイニシャル・アクセスブローカー・グループが、パッチが適用されていない VMware Horizon Server の Log4Shell 脆弱性を利用するための、一連の悪意のアクティビティに関与している。今日、BlackBerry Research & Intelligence & Incident Response (IR) チームが発表した新たな調査結果によると、このサイバー犯罪者は、侵入したシステムに第2段階のペイロードをダウンロードするために、この脆弱性の好機を利用している。このペイロードには、暗号通貨マイナー/Cobalt Strike Beacon/Web シェルなどが含まれている。

VMware Horizon サーバーの脆弱性を積極的に利用して、悪意の Web シェルをダウンロードし、侵害したネットワーク上で持続性のある攻撃が行われることに警鐘を鳴らした、英国の National Health Service (NHS) の勧告を裏付けるものとなる。

Log4Shell とは、人気の Apache Log4j ライブラリに影響を与える脆弱性の名称であり、特別に細工された文字列を記録することで、リモートからコードが実行されるというものだ。2021年12月に、この欠陥が一般に公開されて以来、脅威アクターたちは新しい攻撃手段として悪用し、被害を受けたサーバーを完全に制御するための、さまざまな侵入キャンペーンを展開している。

BlackBerry は、以前に Prophet Spider eCrime カルテルとして識別されていた、悪用ミラーリングの TTP (techniques, and procedures (TTPs) の事例を観察したと述べている。具体的には、悪意のファイルを保存するための C:\Windows\Temp\7fde\ というフォルダパスや、追加のバイナリをフェッチする wget.bin という実行可能ファイルなどの、このグループが使用するインフラとの重複があるという。

CrowdStrike の指摘によると「Prophet Spider は、 2021年8月に Oracle WebLogic サーバーの欠陥を積極的に悪用して、標的環境への初期アクセスを獲得したことが確認されている。このグループは、主に脆弱な Web サーバーを侵害することで、被害者へのアクセスを獲得し、運用目的を達成するために、普及率の低い多様なツールを使用している」とのことだ。

他の多くのイニシャルアクセス・ブローカーと同様に、このように構築された足場は、ダークウェブの地下フォーラムで最高額入札者に売却され、そのアクセスがランサムウェアの展開に悪用されていく。Prophet Spider は、2017年5月ころから活動していると認識されている。

VMware Horizon を実行しているインターネットに面したシステムが、Log4Shell エクスプロイトを利用した攻撃を受けたのは、今回が初めてではない。今月の初めに Microsoft は、DEV-0401 として追跡されている中国の脅威アクターが、侵害されたサーバーに対して、NightSky という新しいランサムウェアを展開していることを指摘した。

また、VMware は、Horizon サーバーへの攻撃を受けて、直ちにパッチを適用するよう顧客に呼びかけている。同社は、「この脆弱性の影響は、あらゆるシステムにとって、特にオープン・インターネットからのトラフィックを受け入れるシステムにとって深刻だ」と警告している。

BlackBerry の VP of Global Services Technical Operations である Tony Lee は、「アクセスブローカー・グループが、範囲が不明な脆弱性に関心を持っているということは、その悪用に対して攻撃者たちが、大きな価値を見出していることを示している。今後も、Log4Shell の脆弱性を利用しようとする犯罪者グループが現れる可能性があり、防御者は常に警戒していく必要がある」と述べている。

VMware と Log4Shell の組み合わせとしては、2021年12年17日の「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」から始まり、年が明けてからも、 1月7日の「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」と、1月11日の「Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された」が続いています。そして、今回は、Prophet Spider というイニシャル・アクセスブローカーが参入です。攻撃のための準備が整いつつあると、想定しておくことが必要ですね。 → Log4j まとめページ

%d bloggers like this: