マルウェアをVMWareHorizonサーバーに注入するために積極的に使用されるLog4Shellの脆弱性

2021年後半に発掘されたLog4ShellまたはLog4jの脆弱性によってITセキュリティセクターで引き起こされた地震の余震は、今なお波を立てています。セキュリティ研究者は、VMWare Horizonサーバーを標的とし、悪名高い脆弱性を悪用してさまざまなマルウェアに感染させる進行中の攻撃を発見しました。

Log4jは、脆弱性が影響を与える、広く使用されているJavaベースのロギングツールの名前です。 Log4Shellは技術的には脆弱性自体の名前ですが、用語はLog4j（脆弱性の影響を受けるソフトウェアの名前）と交換可能になりました。

セキュリティの専門家によって「10年の脆弱性」と呼ばれるLog4Shellは、カタログ化されたときに10.0の完全な重大度スコアを受け取りました。

新しいキャンペーンはクリプトマイナーとバックドアを広めます

セキュリティ会社ソフォスの研究チームは、脆弱性を悪用する新しい進行中の攻撃キャンペーンを監視しています。攻撃キャンペーンを実行しているハッカーのターゲットは、パッチが適用されていないソフトウェアを実行しているVMWareHorizonサーバーです。

サーバーは、侵害されると、いくつかの異なるタイプのバックドアやクリプトマイナーマルウェアに感染しています。

Log4Shellを使用してシステムが侵害されると、ハッカーはバックドアとして使用される正当なリモートアクセスおよび表示ツールをインストールします。

JavaX、Jin、z0Miner、Mimuなど、これらの攻撃で使用されるクリプトマイナーの悪意のあるツールがいくつかあります。これらのクリプトマイナーを広める進行中のキャンペーンが、古い脆弱性を使用した古いキャンペーンに関連している可能性があるという部分的な証拠があります。

侵害されたVMWareHorizonサーバーでのクリプトマイナーとバックドアの展開に加えて、研究者は、データ収集ツールを展開するこの攻撃キャンペーンにも気づきました。攻撃で展開された追加のツールは、デバイスからバックアップおよびシステムデータを取得しようとします。

Log4Shell –消えないエクスプロイト

Log4ShellがITセキュリティを非常に長い間悩ませるという予測は実現しているようです。エクスプロイトで使用される基盤となるソフトウェアを実行しているシステムの数が非常に多いため、研究者が予測したように、パッチが適用されていないインスタンスが今後数年間存在する可能性があるため、攻撃者は特に努力する必要はありません。