CISAは、攻撃者がVMwareサーバーのパッチが適用されていないLog4Shellの脆弱性に対する攻撃を強化していることを警告しています。
サイバーセキュリティおよびインフラストラクチャセキュリティエージェンシー(CISA)と沿岸警備隊サイバーコマンド(CGCYBER)は、 共同勧告 Log4Shellの欠陥が、公開されているVMwareHorizonおよびUnifiedAccess Gateway(UAG)サーバーを危険にさらしている脅威アクターによって悪用されていることを警告します。
VMware Horizonは、管理者がハイブリッドクラウドで仮想デスクトップとアプリを実行および配信するために使用するプラットフォームであり、UAGはネットワーク内にあるリソースへの安全なアクセスを提供します。
CISAによると、ある例では、AdvancePersistent Threat(APT)アクターが被害者の内部ネットワークを侵害し、ディザスタリカバリネットワークを調達し、機密情報を抽出します。 「この悪用の一環として、疑わしいAPT攻撃者は、リモートコマンドアンドコントロール(C2)を有効にする実行可能ファイルが埋め込まれた侵害されたシステムにローダーマルウェアを埋め込みました」とCISAは付け加えました。
ログ4シェル は、Apacheで「Log4j」と呼ばれるログライブラリに影響を与えるリモートコード実行(RCE)の脆弱性です。 このライブラリは、さまざまな組織、企業、アプリケーション、およびサービスで広く使用されています。
攻撃分析
CGCYBERは、VMware HorizonでLog4Shellを悪用した脅威アクターによって侵害された組織で、プロアクティブな脅威ハンティングエンゲージメントを実施します。 これにより、被害者のシステムに最初にアクセスした後、攻撃者は「hmsvc.exe」として識別されるマルウェアをアップロードしたことが明らかになりました。
研究者は、hmsvc.exeマルウェアのサンプルを分析し、プロセスが正規のWindowsサービスおよびSysInternalsLogonSessionsソフトウェアの変更されたバージョンを装っていることを確認しました。
hmsvc.exeの研究者サンプルによると、マルウェアはWindowsシステム上で最高の特権レベルで実行されており、脅威アクターがキーストロークをログに記録し、ペイロードをアップロードして実行できるようにする実行可能ファイルが埋め込まれています。
「マルウェアはC2トンネリングプロキシとして機能し、リモートオペレーターが他のシステムにピボットして、さらにネットワークに移動できるようにします。」マルウェアの最初の実行により、XNUMX時間ごとに実行するように設定されたスケジュールされたタスクが作成されました。
別のオンサイトインシデント対応エンゲージメントのCISAによると、被害者と疑わしいAPTIPアドレスの間の双方向トラフィックを観察しました。
攻撃者は、パッチが適用されていないVMware HorizonサーバーでLog4Shellを悪用することにより、最初に被害者の実稼働環境(ユーザー対応のソフトウェアまたは更新プログラムが展開されているコンピューターのセット)にアクセスします。 その後、CISAは、攻撃者がPowershellスクリプトを使用して横方向の動きを実行し、システムをリモートで監視し、逆シェルを取得して機密情報を盗み出す機能を備えたローダーマルウェアを取得して実行することを確認しました。
さらなる分析により、組織のテストおよび本番環境にアクセスできる攻撃者が悪用されていることが明らかになりました CVE-2022-22954、VMwareワークスペースONEアクセスおよびIdentityManagerのRCEの欠陥。 Dingo J-spyウェブシェルを埋め込むには、
インシデント対応と軽減策
CISAとCGCYBERは、管理者が侵害されたシステムを発見した場合に実行する必要のある複数のアクションを推奨しました。
- 侵害されたシステムを分離する
- 関連するログ、データ、およびアーティファクトを分析します。
- すべてのソフトウェアは、から更新およびパッチを適用する必要があります。
- 本質的でない公開ホスティングサービスを減らして攻撃対象領域を制限し、DMZ、厳密なネットワークアクセス制御、および攻撃から保護するためのWAFを実装します。
- 組織は、多要素認証(MFA)を導入し、強力なパスワードを適用し、ユーザーアクセスを制限することにより、IDおよびアクセス管理(IAM)のベストプラクティスを実装することをお勧めします。