Contiランサムウェア、Log4jを利用してVMware vCenterサーバをハッキングしていることが判明

news

Contiランサムウェアは、重要なLog4Shellエクスプロイトを使用して、内部のVMware vCenter Serverインスタンスへの迅速なアクセスを獲得し、仮想マシンを暗号化していることがわかりました。

https://www.advintel.io/post/ransomware-advisory-log4shell-exploitation-for-initial-access-lateral-movement
www.advintel.io

Contiおよびおそらく他のグループが、Log4j2を最大限に利用し始めるのは時間の問題です。脆弱なシステムには直ちにパッチを当て、Log4j2をランサムウェアグループの攻撃ツールとして認識することをお勧めします。

Contiは、この新しい攻撃手法の採用に時間をかけることなく、Log4jの脆弱性を武器にした最初の「一流」脅威グループとして知られています。

脆弱性のあるvCenterに照準を合わせる

12月9日、CVE-2021-44228(別名:Log4Shell)の概念実証(PoC)のエクスプロイトが公開されました。

その1日後、インターネット上で大量のスキャンが開始され、複数脅威グループが脆弱なシステムの検索を開始。このバグを最初に利用したのは、暗号通貨マイナーやボットネット、そして「Khonsari」と呼ばれる新しいランサムウェアでした。

12月15日になると、Log4Shellを利用する脅威グループは、国家ハッカーやランサムウェアグループにネットワークアクセスを販売するイニシャルアクセスブローカーなどに拡大しました。

12月12日には、Log4Shellが攻撃の手段になり得ると判断し、Log4Shellに興味を持ったようですが数十人のメンバーで構成される最大規模のランサムウェアギャングであるContiは、新しいターゲットを探し始めました。

サイバー犯罪・敵対行為対策企業のAdvIntel社が語ったところによると、VMware vCenterネットワークへの横移動を目的としていたとのことです。

数十社のベンダーがLog4Shellの影響を受け、急いで製品にパッチを当てたり、顧客に回避策や緩和策を提供しています。

VMware社もその一つで、40の脆弱な製品を挙げています。

同社は緩和策や修正プログラムを提供していますが、影響を受けたvCenterのバージョンに対するパッチはまだ提供されていません。

vCenterサーバは通常インターネット上に公開されていませんが、攻撃者がこの脆弱性を利用できる可能性があります。

影響を受けるVMware製品へのネットワークアクセスを持つ脅威グループは、この問題を悪用してターゲットシステムを完全に制御し、サービス拒否攻撃を行う可能性があります。

https://www.vmware.com/security/advisories/VMSA-2021-0028.html

AdvIntelによると、Contiランサムウェアグループは、公開されているエクスプロイトを使ってLog4Shellを活用することに興味を示していたとのことです。

Log4Shellは横方向に移動する

レポートでは”この脆弱性が主要なランサムウェアグループの攻撃手法に入ったのは今回が初めてだ “と指摘しています。

今回のエクスプロイトは、ContiグループがLog4Jエクスプロイトを利用する可能性をテストした複数のユースケースにつながった

多くの企業は、インターネットに公開されているデバイスへのLog4Shell攻撃をブロックすることに注力していますが、Contiランサムウェアは、この脆弱性があまり注目されていない内部デバイスを標的にして利用できることを示しています。

Contiランサムウェアの協力グループがすでに標的となるネットワークに侵入し、脆弱なLog4jマシンを悪用してvCenterサーバーにアクセスしていることを確認しました。

つまり、Contiランサムウェアのメンバーは、異なる初期アクセス方式(RDP、VPN、メールフィッシング)でネットワークを侵害し、現在はLog4Shellを使用してネットワーク上を横移動していることになります。

Contiはロシア語圏のグループで、有名なRyukの後継者としてランサムウェア活動に長く関わってきました。

このグループは、何百もの攻撃を行っており、そのデータリークサイトには身代金を支払わなかった600以上の被害企業が掲載されています。これに加えて、身代金を支払ってデータを解読してもらった企業もあります。

サイバーセキュリティ企業のGroup-IB社は、ランサムウェア被害者の約30%が身代金を支払って攻撃者の復号化ツールを使ってファイルを復元することを選択していると推定しています。

最近では、オーストラリアのサイバーセキュリティセンター(ACSC)が同国の複数の組織を標的としたランサムウェア「Conti」に関する注意喚起を発表しました。被害者の1社は、電力会社のCS Energy社です。

また、オーストラリア政府が使用している給与計算ソフトを提供しているFrontier Software社もContiの被害に遭い、数万人の政府職員のデータが流出する事態となりました。

さらに最近では、米国オレゴン州(ポートランド)とワシントン州にあるビール醸造所とホテルのチェーン店「McMenamins」が被害に遭っています。

ランサムウェア「Conti」は、2020年6月からこの名前で活動しており、AdvIntel社の情報によると同グループは過去6カ月間に被害者から1億5000万ドル以上を搾取しています。

Comments

Copied title and URL