SophosLabs の研究者は、パッチが適用されていない VMware Horizon サーバーを標的にして永続的なアクセスを取得する 4 つのバックドアと 4 つのクリプトマイナーを発見しました。 ソフォスは本日、LogXNUMXj LogXNUMXShell の脆弱性に関する最新の調査をリリースしました。
攻撃者はこれらを使用して、バックドアを埋め込み、パッチが適用されていない VMware Horizon サーバーをスクリプト化します。 これにより、今後のランサムウェア攻撃に備えて、VMware Horizon Server への永続的なアクセスが可能になります。 詳細レポートでは 多数のマイナー ボットとバックドアが Log4J を利用して VMware Horizon サーバーを攻撃 ソフォスの研究者は、サーバーを侵害するためのツールとテクニック、および XNUMX つの異なるバックドアと XNUMX つのクリプトマイナーについて説明しています。 バックドアは、アクセス ブローカーから来る可能性があります。
Log4j と Log4Shell の攻撃が続く
Log4Shell は、Log4J Java コード ライブラリの脆弱性です。 攻撃者がこの脆弱性を悪用すると、任意のシステム コードを実行する機会が与えられます。 何百ものソフトウェア製品に組み込まれており、2021 年末に知られるようになりました。 Log4Shell を使用して脆弱な Horizon Server を標的とする最近の攻撃ベクトルには、次のものがあります。
- XNUMX つの正当なリモート監視および管理ツール – Atera Agent と Splashtop Streamer
- 悪意のある Sliver バックドア
- クリプトマイナー z0Miner、JavaX マイナー、Jin および Mimu
- デバイスおよびバックアップ情報を収集するさまざまな Power-Shell ベースのリバース シェル
ソフォスの分析によると、Sliver は Atera および PowerShell プロファイリング スクリプトにバンドルされることがあり、XMrig Monero マイナー ボットネットの Jin および Mimu 亜種を配信するために使用されます。 攻撃者は、さまざまな戦術を使用してターゲットに感染します。 以前の攻撃のいくつかは、Cobalt Strike を使用してクリプトマイナーをデプロイして実行していましたが、攻撃の最大の波は 2022 年 XNUMX 月中旬に始まりました。VMware Horizon Server の Apache Tomcat コンポーネントからクリプトマイナーのインストール スクリプトを直接実行しました。 この攻撃の波はまだ活発です。
VMware Horizon は手動で更新する必要があります
ソフォスのシニア セキュリティ リサーチャーであるショーン ギャラガー (Sean Gallagher) は、次のように述べています。 「私たちの調査では、2022 年 XNUMX 月以降、Horizon サーバーへの攻撃の波があり、パッチが適用されていないサーバーにさまざまなバックドアやクリプトマイナー、さらにはデバイス情報を収集するスクリプトがもたらされていることがわかりました。 バックドアの一部は、永続的なリモート アクセスを探しているアクセス ブローカーによって提供され、ランサムウェア オペレーターと同様に他の攻撃者に販売できる可能性があると考えています。」
企業は今何をすべきか
ソフォスの分析では、複数の攻撃者がこれらの攻撃を実行していることを示しています。 したがって、最も重要な予防措置は、組織がネットワークでアプリケーションを使用している場合、パッチが適用された VMware Horizon を含む、Log4J を含むソフトウェアのパッチが適用されたバージョンですべてのデバイスとアプリケーションを更新することです。 Log4J は何百ものソフトウェア製品にインストールされており、多くの企業はインフラストラクチャ内に潜む脆弱性に気づいていません。特に、定期的なセキュリティ メンテナンスが行われていない商用、オープン ソース、またはカスタム ソフトウェアです。
攻撃者がすでに Web シェルやネットワーク バックドアをインストールできていた場合、パッチを適用したプログラムでも保護は提供されません。 このような攻撃の餌食にならないようにするには、綿密な防御に加えて、探鉱者やその他の異常な活動などの兆候があればすぐに行動することが重要です。
ソフォスは、Log4Shell の脆弱性に関連する攻撃活動を注意深く監視し続けており、技術的に詳細なレポートやアドバイザリ レポートを多数リリースしています。
- Log4Shell Hell - エクスプロイト発生の分析,
- Log4Shellの応答と軽減に関する推奨事項,
- コードの内部: Log4Shell エクスプロイトの仕組み,
- Log4Shell: 大規模な虐待はありませんが、休息はありません。何が起こったのですか?
ソフォスについて ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。