Log4j-Log4Shell: 攻撃者は永続的なサーバー アクセスに脆弱性を利用します

5. 2022。 April XNUMX 4月XNUMX
| コメントはありません
Log4j Log4shell

投稿を共有する

SophosLabs の研究者は、パッチが適用されていない VMware Horizo​​n サーバーを標的にして永続的なアクセスを取得する 4 つのバックドアと 4 つのクリプトマイナーを発見しました。 ソフォスは本日、LogXNUMXj LogXNUMXShell の脆弱性に関する最新の調査をリリースしました。

攻撃者はこれらを使用して、バックドアを埋め込み、パッチが適用されていない VMware Horizo​​n サーバーをスクリプト化します。 これにより、今後のランサムウェア攻撃に備えて、VMware Horizo​​n Server への永続的なアクセスが可能になります。 詳細レポートでは  多数のマイナー ボットとバックドアが Log4J を利用して VMware Horizo​​n サーバーを攻撃 ソフォスの研究者は、サーバーを侵害するためのツールとテクニック、および XNUMX つの異なるバックドアと XNUMX つのクリプトマイナーについて説明しています。 バックドアは、アクセス ブローカーから来る可能性があります。

Log4j と Log4Shell の攻撃が続く

Log4Shell は、Log4J Java コード ライブラリの脆弱性です。 攻撃者がこの脆弱性を悪用すると、任意のシステム コードを実行する機会が与えられます。 何百ものソフトウェア製品に組み込まれており、2021 年末に知られるようになりました。 Log4Shell を使用して脆弱な Horizo​​n Server を標的とする最近の攻撃ベクトルには、次のものがあります。

  • XNUMX つの正当なリモート監視および管理ツール – Atera Agent と Splashtop Streamer
  • 悪意のある Sliver バックドア
  • クリプトマイナー z0Miner、JavaX マイナー、Jin および Mimu
  • デバイスおよびバックアップ情報を収集するさまざまな Power-Shell ベースのリバース シェル

ソフォスの分析によると、Sliver は Atera および PowerShell プロファイリング スクリプトにバンドルされることがあり、XMrig Monero マイナー ボットネットの Jin および Mimu 亜種を配信するために使用されます。 攻撃者は、さまざまな戦術を使用してターゲットに感染します。 以前の攻撃のいくつかは、Cobalt Strike を使用してクリプトマイナーをデプロイして実行していましたが、攻撃の最大の波は 2022 年 XNUMX 月中旬に始まりました。VMware Horizo​​n Server の Apache Tomcat コンポーネントからクリプトマイナーのインストール スクリプトを直接実行しました。 この攻撃の波はまだ活発です。

VMware Horizo​​n は手動で更新する必要があります

ソフォスのシニア セキュリティ リサーチャーであるショーン ギャラガー (Sean Gallagher) は、次のように述べています。 「私たちの調査では、2022 年 XNUMX 月以降、Horizo​​n サーバーへの攻撃の波があり、パッチが適用されていないサーバーにさまざまなバックドアやクリプトマイナー、さらにはデバイス情報を収集するスクリプトがもたらされていることがわかりました。 バックドアの一部は、永続的なリモート アクセスを探しているアクセス ブローカーによって提供され、ランサムウェア オペレーターと同様に他の攻撃者に販売できる可能性があると考えています。」

企業は今何をすべきか

ソフォスの分析では、複数の攻撃者がこれらの攻撃を実行していることを示しています。 したがって、最も重要な予防措置は、組織がネットワークでアプリケーションを使用している場合、パッチが適用された VMware Horizo​​n を含む、Log4J を含むソフトウェアのパッチが適用されたバージョンですべてのデバイスとアプリケーションを更新することです。 Log4J は何百ものソフトウェア製品にインストールされており、多くの企業はインフラストラクチャ内に潜む脆弱性に気づいていません。特に、定期的なセキュリティ メンテナンスが行われていない商用、オープン ソース、またはカスタム ソフトウェアです。

攻撃者がすでに Web シェルやネットワーク バックドアをインストールできていた場合、パッチを適用したプログラムでも保護は提供されません。 このような攻撃の餌食にならないようにするには、綿密な防御に加えて、探鉱者やその他の異常な活動などの兆候があればすぐに行動することが重要です。

ソフォスは、Log4Shell の脆弱性に関連する攻撃活動を注意深く監視し続けており、技術的に詳細なレポートやアドバイザリ レポートを多数リリースしています。

詳細は Sophos.com をご覧ください

 

ソフォスについて

ソフォスは、100 か国の 150 億人を超えるユーザーから信頼されています。 複雑な IT の脅威とデータ損失に対する最高の保護を提供します。 当社の包括的なセキュリティ ソリューションは、導入、使用、管理が簡単です。 業界で最も低い総所有コストを提供します。 ソフォスは、受賞歴のある暗号化ソリューション、エンドポイント、ネットワーク、モバイル デバイス、電子メール、および Web 向けのセキュリティ ソリューションを提供しています。 また、独自の分析センターのグローバル ネットワークである SophosLabs からのサポートもあります。 ソフォスの本社は、米国のボストンと英国のオックスフォードにあります。

 

トピックに関連する記事

5G環境を保護するサイバーセキュリティプラットフォーム

サイバーセキュリティの専門家であるトレンドマイクロが、組織の拡大し続ける攻撃対象領域を保護するためのプラットフォームベースのアプローチを発表しました。 ➡続きを読む

データ操作、過小評価されている危険性

毎年 31 月 XNUMX 日の世界バックアップの日は、最新の簡単にアクセスできるバックアップの重要性を思い出させるものです。 ➡続きを読む

セキュリティリスクとしてのプリンター

企業のプリンター群はますます盲点になりつつあり、その効率性とセキュリティーに関して大きな問題を引き起こしています。 ➡続きを読む

AI 法とそのデータ保護への影響

AI 法により、AI に関する最初の法律が承認され、AI アプリケーションのメーカーに 6 か月から 6 か月の猶予期間が与えられました。 ➡続きを読む

Google Workspace 経由の MDR と XDR

カフェ、空港ターミナル、ホームオフィスなど、従業員はさまざまな場所で働いています。ただし、この開発には課題も伴います ➡続きを読む

Windows オペレーティング システム: 約 200 万台のコンピュータが危険にさらされています

Windows 7 および 8 オペレーティング システムのアップデートはもうありません。これは、セキュリティ上のギャップが開いていることを意味するため、価値があり、 ➡続きを読む

エンタープライズ ストレージ上の AI がランサムウェアとリアルタイムで戦う

NetApp は、ランサムウェアと戦うために人工知能 (AI) と機械学習 (ML) をプライマリ ストレージに直接統合した最初の企業の 1 つです ➡続きを読む

ゼロトラスト データ セキュリティのための DSPM 製品スイート

データ セキュリティ体制管理 (略して DSPM) は、企業が多数のデータに対するサイバー回復力を確保するために不可欠です。 ➡続きを読む

広報メッセージ, ソフォス
, , , , ,