Iranian Hackers Targeting VMware Horizon Log4j Flaws to Deploy Ransomware
2022/02/17 TheHackerNews — イラン政府に属する潜在的破壊アクターが、Log4j の脆弱性を積極的に悪用し、パッチが適用されていない VMware Horizon サーバーにランサムウェアに感染させている。サイバー・セキュリティ企業の SentinelOne は、このグループがトンネル・ツールを多用することから、TunnelVision と名付けている。
SentinelOne の研究者である Amitai Ben と Shushan Ehrlich と Yair Rigevsky は、レポートの中で「TunnelVision の活動は、この脆弱性を標的となる地域で1日だけ、広範に悪用することを特徴としている。今回の侵入は、中東と米国で検出された」と述べている。
また、Log4Shell と並んで観測されたのが、Fortinet FortiOS のパス・トラバーサルの脆弱性 CVE-2018-13379 と Microsoft Exchange ProxyShell の脆弱性を悪用して、標的ネットワークへの初期アクセスを行い、潜伏するというものだ。
TunnelVision の攻撃者は、この脆弱性を積極的に悪用して、悪意の PowerShell コマンドを実行し、バックドアを展開し、バックドア・ユーザーを作成し、認証情報を採取し、横方向へと移動している。PowerShell コマンドは、Ngrok などの悪意のツールをダウンロードするためのランチャーパッドとして使用され、資格情報の収集や偵察コマンドの実行が可能な PowerShell バックドアをドロップするリバースシェルにより、さらにコマンドを実行していく。
また、SentinelOne によると、逆方向の WebShell を実行する仕組みが、今月の初めに Cybereason の研究者により公開された、PowerLess と呼ばれる別の PowerShell ベース・インプラントと類似していることが確認されている。また、この脅威アクターは protections20 というユーザー名で、VmWareHorizon という名称の GitHub リポジトリを利用して、悪意のペイロードをホストしていたと言われている。
SentinelOne は、「攻撃が無関係であるという理由はなく、また、現時点では、前述の属性のいずれかと、同一として扱うにはデータが不十分である。こうした現実があるため、この攻撃を別のイランのクラスターに関連付けている」と述べている。
VMware Horizon と Log4j の関連性から見ると、2021年12月の「Conti と Log4Shell:大物ランサムウェアは VMware vCenter に狙いを定める」および、2022年1月の「英国民保健サービス NHS の VMware Horizon が Log4Shell に狙われている」、「Night Sky ランサムウェアによる Log4j バグの悪用:VMware Horizon のハッキングが開始された」、「VMware Horizon への Log4Shell 攻撃:悪名高いアクセス・ブローカーが参戦」などがあります。これらの記事を見ても、誰が何を攻撃しているかという点が、現時点では明確に見いだせません。今後も、この種のトピックは、優先して取り上げていきたいと思います。
IoT OT Security News 