Microsoftは、Log4Shellセキュリティ脆弱性を悪用したKhonsariランサムウェア攻撃を防御するため、セルフホスト型Minecraftサーバーの管理者に最新リリースへのアップグレードを推奨しています。
独自のサーバーを運用しているMinecraft管理者は、ユーザーを保護するために、できるだけ早く最新のMinecraftサーバーアップデートを導入することをお勧めします。詳しい情報はこちらでご覧いただけます: https://aka.ms/mclog
「Minecraft」を開発しているスウェーデンのゲーム開発会社Mojang Studiosは、「Minecraft」のJava版クライアントおよびマルチプレイヤーサーバーで使用されているApache Log4j Javaロギングライブラリに存在するCVE-2021-44228として追跡されている脆弱性に対処するため、緊急セキュリティアップデートをリリースしました。
当時、Log4Shellを利用したMinecraftサーバーへの攻撃については言及されていませんでしたが、レドモンド社のセキュリティ専門家はCVE-2021-44228に関するガイダンスを更新し、エンドユーザがホストしているMinecraftサーバーでランサムウェアの悪用が続いていることを警告しました。
これらのケースでは、敵対者が脆弱なMinecraftサーバーに悪意のあるゲーム内メッセージを送信し、CVE-2021-44228を悪用してサーバーと接続された脆弱なクライアントの両方で攻撃者が配信するペイロードを実行させます
Khonsariランサムウェアである悪意のあるJavaクラスファイルにつながる悪用を確認しました。
その後、javaw.exeで実行され、デバイスの身代金を要求します。
Microsoft 365 Defender Threat Intelligence TeamとMicrosoft Threat Intelligence Center(MSTIC)は、PowerShellベースのリバースシェルがMinecraftサーバーを標的としたLog4jエクスプロイトを入り口とするネットワーク侵害に展開されていることも確認しています。
Minecraftは、企業のエンドポイントにマインクラフトがインストールされているとは考えられませんが、これらのサーバの1つを侵害することに成功した攻撃者は、Mimikatsを使用して認証情報を盗み、侵害されたシステムへのアクセスを維持して後続の活動を行うために使用していると考えられます。
MinecraftサーバをLog4Shell攻撃から守る方法
マイクロソフトは、すべてのマインクラフトサーバ管理者に対し、これらの攻撃からサーバーを守るために、最新のMinecraftサーバーアップデートを直ちにインストールするよう警告するとともに、プレイヤーに対し信頼できるMinecraftサーバーにのみ接続するよう求めています。
独自のMinecraft.Java Editionサーバーをホストしている場合は、公式手順に従ってください。
このパッチを適用したバージョンにアップグレードするために、Mojang社の公式クライアントを使用しているプレイヤーは、実行中のゲームとMinecraft Launcherのインスタンスをすべて終了し、Launcherを再起動することで、パッチが自動的にインストールされます。
改造されたMinecraftクライアントやサードパーティ製ランチャーを使用している方は、サードパーティのプロバイダに連絡してセキュリティアップデートを入手してください。
Khonsariはワイパーか
今回の攻撃に使用されたKhonsariは、Bitdefenderがランサムウェアとして分類付けしたもので、Log4Shell攻撃に使用されていることを最初に発見しました。
しかし、Khonsariの身代金請求書には、ランサムウェアの運営者に連絡して身代金を支払う方法が書かれていません。
さらに、Emsisoft社のアナリストであるBrett Callow氏もこのランサムウェアの名前は攻撃者のものではなく、ルイジアナ州の骨董品店のオーナーの連絡先を使用していると指摘しています。
支払い情報がないことから、このランサムウェアは、ワイパーと呼ばれる破壊的なマルウェアに分類されます。ワイパーは、愉快目的でMinecraftのサーバーをダウンさせることができます。
Comments