Log4j ソフトウェアの Log4Shell 脆弱性は、攻撃者が DDoS ボットネットへのデバイスの勧誘やクリプトマイナーの設置など、さまざまなマルウェア ペイロードを展開するために活用されていることがわかりました。
Log4Shellの脆弱性は、2ヶ月以上前から既知となっていますが、バラクーダの研究者が2021年12月10日以降に弊社のシステムで検出された攻撃とペイロードを分析し、これらの脆弱性を悪用しようとする攻撃量が、過去2か月間でいくつかの増減があるものの比較的一定であることを発見しました。ソフトウェアの人気、脆弱性の悪用可能性、侵害が起こったときの見返りを考えると、少なくとも短期的には、この攻撃パターンが続くと予想されます。
バラクーダのレポートによると、過去数カ月間Log4Shellの標的が変化していましたが、攻撃量は比較的一定していました。
これらの攻撃を分析し、バラクーダはほとんどの攻撃が米国ベースのIPアドレスから来ており、日本、中央ヨーロッパ、ロシアがそれに続いていることを確認しました。
2021年12月、研究者はLog4jのバージョン2.14.1とそれ以前のすべてのバージョンに、「Log4Shell」と呼ばれる重大なゼロデイ・リモートコード実行の欠陥、CVE-2021-44228の脆弱性があることを発見しました。
Log4jの開発元であるApacheは、バージョン2.15.0をリリースすることでこの問題を解決しようと試みましたが、その後の脆弱性の発見やセキュリティギャップにより、年末にバージョン2.17.1でようやくすべての問題に対処するまで、パッチ適用が続きました。
しかし、バラクーダによると多くのシステムは一般的なログフレームワークの旧バージョンを実行し続けているため、悪用されやすい状態になっているとのことです。
DDoSとマイニングのために活用される
バラクーダの研究者は、脆弱なJog4jの導入を対象とするさまざまなペイロードを発見していますが、現時点ではMiraiボットネットの派生物が大部分を占めているようです。
Miraiマルウェアは、一般に公開されているネットワークカメラ、ルータ、およびその他のデバイスをターゲットとし、それらを遠隔操作ボットネットに参加させます。脅威者はこのボットネットを制御して特定のターゲットに対してDDoS攻撃を行い、リソースを枯渇させ、オンラインサービスを中断させることができるのです。
バラクーダのレポートが説明するように、Miraiはさまざまな形態で、さまざまなソースから配布されており、将来的にあらゆる規模の被害者を対象とする大規模なボットネットを構築しようとしていることがわかります。
このような運用の背後にいる攻撃者は、ボットネットの火力を他者に貸与しているか、企業を恐喝するために自らDDoS攻撃を仕掛けています
最近のLog4jの悪用によって投下されたと見られる他のペイロードは以下の通りです。
- BillGatesマルウェア(DDoS)
- Kinsing (クリプトマイナー)
- XMRig (クリプトマイナ)
- Muhstik (DDoS)
- マイナーを設定するスクリプト
バラクーダのアナリストによると、一般に公開されたVMWareインストールを悪用するランサムウェアグループは見られず、すでに侵害されたネットワークに対する内部脅威としてより多く利用されていると考えているそうです。
例えば、Conti Ransomwareは、Log4jエクスプロイトを使用して、VMware vCenterのインストールに横展開しました。
恒久的な脅威
この攻撃から身を守る最も簡単な方法は、Log4jをバージョン2.17.1以降にアップデートし、一般的にすべてのWebアプリケーションを最新の状態にしておくことです。
Miraiの標的となったデバイスのほとんどは、個々のパッケージをアップデートすることができないため、Log4jの修正を含むアップデートされたファームウェアを確認し、利用可能であればそれを適用する必要があります。
バラクーダの報告では、Log4Shell攻撃は安定的に発生していますが、Sophosでは最近減少していると報告しています。しかし、すべてのアナリストは、この脅威が残っていることに同意しています。
大多数の攻撃者の関心が薄れたとしても、一部の脅威者は、その数が顕著であるため、脆弱なLog4jの配備をターゲットにし続けるでしょう。
ランサムウェア攻撃に敏感な組織は、セキュリティアップデートを適用していますが、クリプトマイニングやDDoS攻撃の目的では、古いバージョンを実行している放置されたシステムは格好のターゲットとなります。
Comments