Iranian Government Hackers Exploit Log4Shell in SysAid Apps for Initial Access
2022/08/26 SecurityWeek — イラン政府に関連するとされる脅威グループが、SysAid の Log4Shell 脆弱性を悪用し、ターゲットの組織へのイニシャル・アクセスを確立したようだ。Apache Log4j のロギング・ユーティリティに影響を与える脆弱性 Log4Shell は、2021年12月に明るみに出たものである。この脆弱性 CVE-2021-44228 は、リモート・コード実行に悪用される可能性があり、営利目的のサイバー犯罪者に加えて、国家に支援されるサイバー・スパイにも悪用されてきた。
脆弱性 Log4Shell は、複数の大手企業で使用される Log4j 製品に影響を与えるが、一連の攻撃における主要ターゲットは、VMware のソフトウェアとされてきた。
Microsoft は、「Mercury として追跡している脅威アクターは、Log4j の脆弱性の悪用で知られており、脆弱な VMware ソフトウェアに対して攻撃を行ってきた。しかし、SysAid を標的にしたのは、これが初めてのようだ」と述べている。同社は、SysAid サーバ・インスタンスを悪用したのが Mercury であるという点で、中程度の確信を持って評価しているようだ。
脅威アクターが SysAid に対して、脆弱性 Log4Shell を悪用した他の攻撃について、SecurityWeek は認識していない。IT サービス管理ソリューションを提供する SysAid は、脆弱性 Log4Shell のが明らかになった直後に対処したが、一部のインスタンスにはパッチが適用されていなかったようだ。
脅威アクター Mercury は、Seedworm/Static Kitten/MuddyWater という名前でも知られている。このグループは、2022年の初めに、米国政府によりイラン情報安全保障省と公式に結び付けられた。2022年7月下旬に Microsoft が観測した攻撃では、Mercury はイスラエルにある組織を標的にしていたが、イランのグループがイスラエルを標的にするのは、珍しいことではない。
Microsoft は、「この脅威アクターは、2022 年初頭に VMware アプリケーションに対して、Log4j の2つのエクスプロイトを利用し、また、インターネット接続された脆弱なアプリを探していたようだ。 IT 管理ツールを提供する SysAid は、標的となった国々において、魅力的な標的として認識された可能性がある」と述べている。
ハッカーは、標的のシステムにアクセスした後に、持続性を確立し、認証情報を破棄し、さまざまなツールを用いて組織内で横方向へと移動していった。この脅威アクターは、手作業による実践的なアクティビティを実践したという。
Microsoft は、「SysAid の悪用に成功した攻撃者は、Web シェルをドロップすることで、複数のコマンドの実行が可能になる。大半のコマンドは偵察に関連しており、エンコードされた1つの PowerShell が攻撃用ツールをダウンロードし、横方向の動きと持続性を確保している」と説明している。
久々の Log4j トピックです。イランの国家支援脅威アクター Mercury が、Log4Shell を悪用することで SysAid のイニシャル・アクセスを得ているとのことです。もちろん、Log4j へのパッチが適用済みであれば、このような問題は生じませんが、未適用のシステムが、まだまだ沢山あるということなのでしょう。VMware から SysAid へと、ターゲットが広がるという困った展開です。よろしければ、2022年7月14日の「Log4j ソフトウェア攻撃はエンデミックへ向かう:ただし完全な消滅には 10年を要する」を、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.