Log4Shell、攻撃者らは引き続き悪用 | Codebook|Security News
Codebook|Security News > Articles > Analyst's Choice > Log4Shell、攻撃者らは引き続き悪用

Analyst's Choice

blacktech

Cyber Intelligence

Intelligence

Log4Shell、攻撃者らは引き続き悪用

Rory

Rory

2022.02.03

Analyst’s Choice

「アナリスト・チョイス」では、弊社インテリジェンスアナリストが注目の記事をピックアップし、そこで取り上げられた脆弱性やマルウェアなどの脅威情報に対する洞察・ソリューションなどをコメントしています。

 

アナリスト:

Rory Morrissey

(Intelligence Architect @Machina Record)

 

Articles

Article.1

Log4Shell、攻撃者らは引き続き悪用

 

Article.2

BlackTech APTがFlagproマルウェアを用いて日本企業を攻撃

 

Article.3

新バックドアSysJokerがWindows、Linux、macOS狙う

 

Log4Shell、攻撃者らは引き続き悪用

マイクロソフトが見解示す

マイクロソフトの研究者は、Apache Log4j 2の脆弱性「Log4Shell」を悪用する試みが今後も引き続き発生する確率は高いと警告しています。現時点で観測されている攻撃の多くは、脆弱なシステムを特定するための、攻撃者による大規模なスキャンなどです。

複数のAPTが悪用か

また、Bladabindi、HabitsRATおよびWebtoosなどのマルウェアを利用してLog4Shellを悪用しようとしているAPTが複数観測されています。Webtoosには、DDoSの機能や、攻撃者のさらなる活動を可能にする持続性のメカニズムが備わっています。

APT35やAQUATIC PANDAも悪用

イランの国家支援型アクターAPT35は、Log4Shellを悪用して新たなモジュール式のPowerShellツールキットを展開しようとしているところが観測されています。このフレームワークは「CharmPower」と呼ばれ、持続性の確立、情報収集、コマンドの実行に使用されます。攻撃者は、Log4Shellを悪用するのに、一般に公開されているオープンソースのJNDIエクスプロイトキットを使用しました。

AQUATIC PANDAは、VMware Horizonインスタンス上で動作する脆弱なApache Tomcatサービスをスキャンしているところが観測されています。同アクターはスキャン後、Windowsホスト上で一連のLinuxコマンドを実行し、Log4Shellエクスプロイトの修正版を悪用しながらリモートでホストされたツールの検索を図ったほか、サードパーティのEDRサービスを停止する措置をとりました。

 

情報源:

1.https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/?_hsmi=200014070&_hsenc=p2ANqtz-_37sUHeCVBGev1rh144tYJbgKY_kr74NJk4WFiElVtA9c-7LIWkoeX_YSSXgdKfG1iNxpVSsSZMGwJFFHqSy0ZH3q3NA#attacks

 

2.https://research.checkpoint.com/2022/apt35-exploits-log4j-vulnerability-to-distribute-new-modular-powershell-toolkit/?_hsmi=200640354&_hsenc=p2ANqtz-_7FZEGifW6qRDAqMCVNcmIKjhFrAhrYhC5ZFo7GxcF6kNp0ntCsLAiXQjem2BytQcxDUJaK9SdUkWjEpmLQgjjGTZCfQ

 

3.https://www.crowdstrike.com/blog/overwatch-exposes-aquatic-panda-in-possession-of-log-4-shell-exploit-tools/?_hsmi=199924233&_hsenc=p2ANqtz-_V3vIdVy8K2Dt-3QqFnIOzA0SWzyOppR7mSHha4Gcb7QTVhUtgpi-63T3aN28I3SWEYsU6fF2HTASq0tIQJU18QYuyrw

 

4.https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/

 

アナリストのコメント

影響範囲

Log4j 2.3.2(Java 6)、2.12.4(Java 7)または2.17.1(Java 8以降)にアップデートしていないApache Log4jを実行しているシステム。

 

見解

Log4jの脆弱性に対処する最新アップデートがリリースされてから1か月以上が経過しました。アップデートが最近リリースされていないということは、初期の脆弱性が適切に対処されたことのしるしですが、現在兆候が見られないシステムがアップデート以前の攻撃に対して安全であるという意味ではありません。1月中に脅威アクターの関心が高まったことは、多くのシステムがまだ脆弱であることの表れであり、その原因はおそらく所有者が影響を受けているシステムを迅速に更新できないか、そうしたシステム上のLog4jライブラリの存在に気づいていないことだと思われます。

 

緩和のための戦略

所有者が見落としそうな、影響を受けるLog4jライブラリの存在を把握するため、Microsoft Defenderのような有能な診断ソフトウェアをすべてのシステムで実行する必要があります。過去のバージョンのApache Log4jソフトウェアを実行しているシステムは、直ちにアップデートし、侵害されていないかスキャンを行う必要があります。

 

BlackTechがFlagproマルウェアを用いて日本企業を攻撃

防衛、メディア、通信関連企業が標的

遅くとも2020年10月からBlackTechグループに使用されている新たなマルウェア「Flagpro」を、NTTセキュリティの研究者らが確認しました。Flagproは、日本の防衛、メディア、通信関連企業を標的にしています。

標的の取引先に言及するフィッシングメールで感染

Flagproは、標的組織に合わせてカスタマイズされたスピアフィッシングメールで配布されます。メールには標的企業の取引先に関する記述が含まれており、パスワードで保護されたアーカイブファイルが添付されています。アーカイブファイルには、有害なマクロが仕込まれたxlsm形式のファイルが含まれています。このマクロが有効化されると、スタートアップディレクトリにFlagproの実行可能ファイルが作成されます。

Flagproの主な機能など

Flagproが実行されるのはシステム起動時です。その主要な機能は、第2段階のマルウェアのダウンロード・実行、OSコマンドの実行・実行結果の送信、そしてWindowsの認証情報の収集・送信です。さらに、Flagproの第2バージョンも確認されており、このバージョンは、外部サイトで収集した情報をユーザーに伝えるダイアログボックスをクローズさせることができます。

別の新たなマルウェアも使用

BlackTechグループは別の新たなマルウェア「SelfMake Loader」および「Spider RAT」も使用し始めているとして、研究者らは注意を呼びかけました。

 

情報源:

https://insight-jp.nttsecurity.com/post/102hf3q/flagpro-the-new-malware-used-by-blacktech?_hsmi=199924233&_hsenc=p2ANqtz-87XLplt-LPMgIPiNM6uP3dAu6zioYb0tLer77aBxbRAjeIkJtmQfbJKRhrRpVmxHEwTzMUEj2CVn6TGVskMCOfZcZ0hQ

 

アナリストのコメント

影響範囲

日本の防衛、メディア、通信関連企業。

 

見解

Blacktech APTグループには、公表されるセキュリティレポート(「情報源」として先ほど提示した記事など)に応じて自らのマルウェアを修正する技術と能力があることを、セキュリティ研究者らは示唆しています。つまり、同マルウェアあるいは同グループの今後の活動の変化を発見するにあたって、もはや既存のIoCは効果的な手段ではなくなっている恐れがあるということです。

 

緩和のための戦略

このマルウェアは通常、取引先からの連絡に見せかけたスピアフィッシングメールとともに配布されます。従業員が疑わしいメールを見分けられれば、マルウェアがダウンロードされるのを防ぐことができます。また、インターネットトラフィックを監視するソフトウェアを導入し、会社のメール受信箱に入る有害な添付ファイルを自動的に監視することも可能です。

 

添付ファイルは普通、有害マクロを含むMicrosoft Excelファイルです。マクロはデフォルトで無効に設定しておくべきであり、マクロを有効化せよというファイルからの要求には、疑いをもって対処する必要があります。

 

マルウェアがシステム上で実行されてしまった場合、IoCと検知ロジックは情報源の記事内でご確認いただけます。ただし、ここまでみてきたように、同マルウェアの今後の修正版は、検出がさらに困難になっている可能性があります。

 

新バックドアSysJokerがWindows、Linux、macOS狙う

2021年12月に発見

Microsoft Windows、macOS、およびLinuxシステムを標的とする新たなバックドア「SysJoker」に関する調査結果について、Intezer Labsの研究者らが詳細を明らかにしました。同バックドアは、2021年12月、Linuxで構築されたある教育機関のWebサーバーに対する攻撃の中で発見されました。このマルウェアは、標的となる各OSに合わせて作成されており、LinuxバージョンとMacバージョンは、VirusTotalでは完全に検出不能です。一方で、感染済みのnpmパッケージが攻撃経路である可能性があります。

各OSでの挙動

同マルウェアの挙動は3つのOSすべてにおいて同様ですが、Windowsバージョンは第1段階のドロッパーによって感染します。このドロッパーにはzip形式のSysJokerが含まれており、これが解凍されると、SysJokerは自らをコピーしてディレクトリ内に身を潜めます。その後、同マルウェアはデバイスの識別情報を収集し、エンコード済みDLLファイル内にデータを記録します。

解析中にC2が3回変わる

SysJokerは持続性を確保し、システムアップデートを装います。同マルウェアは、ハードコーディングされたGoogle Driveリンクの文字列をデコードすることによってC2との接続を確立します。研究者らは解析中にC2が3回変わったのを確認しましたが、このことは、同マルウェアのオペレーターが感染したマシンの監視を盛んに行なっていることを示しています。SysJokerは、自主消去、実行可能ファイルの投下・実行、コマンドの実行などの指示をC2から受信しますが、次の段階に向けての指示を含むC2からの応答は観測されませんでした。

オペレーターは高度な技術を持つアクターか

SysJokerのオペレーターはおそらく高度な技術を持つ脅威アクターだろうと、研究者らは判定しました。さらに、今回観測された攻撃の目標はスパイ活動やラテラルムーブメント(マルウェアが企業や組織のネットワークへ不正侵入したあとに、内部ネットワークに感染を拡散させていくこと)であり、これはおそらく最終段階でランサムウェア攻撃を実行するためのものだろうと、研究者らは評価しました。

 

情報源:

https://www.intezer.com/blog/malware-analysis/new-backdoor-sysjoker/?_hsmi=200640354&_hsenc=p2ANqtz-8JoVYkt5X1WQz6Wu1M6yQA9WwKfyGnBI1Z3lt6eD0EjyIxvtIySFoXMH9d2dFKC2wRkFzpAphTzfAx0j0xONteBd-Fqg

 

アナリストのコメント

影響範囲

Windows、Linux、MacOSの全システムが影響を受ける恐れがありますが、SysJokerの背後にいるアクターが狙うのは特定の標的(現時点では不明)であると、セキュリティ研究者らは考えています。

 

見解

SysJokerの背後にいる脅威アクターは高度な脅威であると、セキュリティ研究者らは考えています。というのも、同マルウェアには他の主流なマルウェアからコピーされたコードが含まれていないとみられるためです。つまり、同脅威アクターは自身の手でこのマルウェアを一から作成する能力を持っていたということであり、また、今後の検出手法を欺くためにマルウェアをごく簡単に修正・調整できる可能性が高いということです。

 

緩和のための戦略

情報源の記事によると、侵害が検出された場合、被害者は以下の手順に従うのがよいとのことです。

 

✔️ SysJokerに関連するプロセスを停止し、関連する持続性維持メカニズムとSysJokerに関連するすべてのファイルを削除する。

✔️ 感染したマシンにマルウェアが残っていないことを、メモリスキャナーを実行して確認する。

✔️ マルウェアの最初の侵入経路を調査する。サーバーがSysJokerに感染していた場合は、調査の過程で以下を確認する。

□ 外部公開されているサービスの設定状況やパスワードの複雑さ

□ 使用されているソフトウェアバージョンと、存在している可能性のある既知のエクスプロイト

 

3大OSすべてに対応するIoCが、上記「情報源」の記事に記載されています。

 

Writer

アナリストプロフィール

Rory Morrissey / 株式会社マキナレコード 脅威インテリジェンス・アナリスト

兵庫県立大学とカーネギーメロン大学で修士号(応用情報科学、情報技術―情報セキュリティ)を取得の後、ITコンサルタントを経て、2019年から現職。セキュリティアナリストとして、大手企業・公的機関向けにサイバー脅威、物理リスクなどに関する実用的レポートを提供。

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ