IAB Prophet Spider Seizes Opportunity to Exploit Log4j Vulnerability
2022/02/02 SecurityBoulevard — イニシャル・アクセス・ブローカー (initial access broker:IAB) グループである Prophet Spider による攻撃は、最近になって発見された VMware Horizon での Log4j 脆弱性の悪用と相関関係があることが判明した。また、侵害の兆候を示すいくつかの指標は、自身の組織に対する攻撃の有無を、セキュリティ・チームが判断するのに役立つ。
Prophet Spider 攻撃を発見したBlackBerry Research & IntelligenceとIncident Response チームによると、昨年末に VMware は Log4Shell パッチと緩和のためのガイダンスを発行したが、多くの実装においてパッチが適用されていない。
BlackBerry の研究者たちが作成したブログによると、「この脆弱性は、ws_TomcatService.exe というプロセスの、子プロセスを監視することで確実に検出できる (VMware Horizonで使用されている Tomcat サービスと同じ)。観察された、すべてのケースにおいて、ws_TomcatService.exe プロセスを悪用すると、cmd.exe または powershell.exe のいずれかが、子プロセスとして生成された」と述べている。
研究者たちは、「この脆弱性を脅威アクターが悪用した場合、最も一般的なケースでは、被害を受けたシステムに対して第2段階のペイロードをダウンロードするために、エンコードされた PowerShell コマンドが使用される」と記しているが、ペイロードの仕様は、攻撃者の動機や目的により異なる。研究者は、それらの例として、暗号化/ランサムウェア/恐喝などを挙げている。
彼らは、「BlackBerry では、主に暗号通貨マイニング・ソフトウェアが、被害を受けたシステムにインストールされるという行為が確認されているが、Cobalt Strike Beacon が発見されたケースもある」と付け加えている。
研究者たちは、「暗号通貨マイニング・ソフトウェアと Cobalt Strike Beacon の大量導入を確認しただけではなく、Prophet Spider IAB に関する Tactics/Techniques/Procedures (TTPs) を含む悪用事例を発見した。この脅威グループは、ネットワークを侵害し、その後にランサムウェアの運営者に対して、アクセス権を販売することで知られている。この脅威グループは、ネットワークを侵害し、後にランサムウェアのオペレータにアクセス権を売ることで知られている」と述べている。 最近のレポートでは、Zebra2104 と呼ばれる同様のグループについても説明されている。
BlackBerry:HunterBecomesHunted:Zebra2104 Hides a Herd of Malware
今回のインシデントが Prophet Spider の仕業であることを示す指標の1つとして、悪意のファイルの保存に C:Windows\Temp\7fde\ フォルダパスが使用されていたことが挙げられている。また、この脅威アクターは、感染したホストにファイルを追加する際に使用する、wget.bin という実行ファイルをダウンロードしていた。ダウンロード・クレードルに使用された IP も、Prophet Spider グループによるものとされている。
BlackBerry の VP of Global Services Technical Operations である Tony Lee は、「今回の悪用を軽減するためには、他の全ての脆弱性と同様に、脆弱性のある Log4j のインスタンスにパッチを適用するべきだが、それほど単純ではない。また、身代金を支払うだけの経済力のある組織や、暗号化ファームになる可能性のある組織は、標的にされると予想される」と述べている。つまり、ほぼすべての組織がリスクにさらされているということだ。
Tony Lee は、「堅牢な脆弱性管理プログラムは絶対に必要だが、それが唯一の解決策ではない。24時間365日の監視/脅威インテル・オーバーレイ/脅威ハンティング/AIベースのエンドポイント・プロテクションなどの多層化されたディフェンスが、侵害の迅速な特定と軽減に役立つ。今回のような侵害が、迅速に検出され、軽減されるなら、後続のランサムウェア攻撃を回避できる可能性が高くなる」と付け加えている。
Prophet Spider が Log4j の欠陥を悪用したということは、この欠陥が攻撃者にとって大きなチャンスであることを物語っている。研究者たちは、「イニシャル・アクセス・ブローカー (IAB) のグループが、影響範囲が不明な脆弱性に関心を持つということは、その脆弱性を悪用することに、大きな価値を見出していることを示している。IT チームやユーザーが、これらの脆弱性への対応に追われている中、近い将来、Log4Shell の脆弱性を利用しようとする犯罪グループが現れそうだ」と述べている。
しかし、Log4j は、IAB が悪用できる脆弱性の中では、最も新しい1つに過ぎない。SCYTHE の CTO である Jorge Orchilles は、「IAB は、組織へのアクセスを得るために、あらゆる機会を利用する。今日は Log4j のエクスプロイトが使われているが、明日には別のエクスプロイトが使われるだろう。防御者としては、いつか我々の保護を突破してくるエクスプロイトを検知し、対応できるようにしたいものだ。セキュリティ・チームは、人材/プロセス/セキュリティ・テスト/トレーニングなどを強化することで、その後に起こることを検知し、対応することが可能になる。この分野は常に進化しており、脅威の先を行くためには協力し合わなければならない」と述べている。
1月26日にも「VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦」という記事をポストしており、かなり重複していますが、この Security Boulevard の記事も訳してみました。こういうイニシャル・アクセス・ブローカーやダークウェブの存在により、サイバー犯罪のプロセスが分業化され、大きな被害をもたらしているのは確かなことです。関連記事として、1月20日の「ダークウェブへの潜入調査:ランサムウェア・ギャングたちのデータを分析/整理」も ご参照ください。
IoT OT Security News 