仮想通貨の窃盗で悪名をはせている、国家を後ろ盾とする「Lazarus」のハッカーらは、諜報活動目的で北米や日本のエネルギー企業に侵入するために「Log4Shell」という脆弱性を悪用しているという。
提供:Getty
Cisco SystemsのTalos Intelligence Groupは米国時間9月8日、Lazarusのハッカーらが米国やカナダ、日本のエネルギー企業に対する攻撃の足掛かりを築くために、インターネットに接続され、オープンソースのログ出力ライブラリー「Apache Log4j」に存在する脆弱性へのセキュリティパッチが適用されていない「VMware Horizon」サーバーを悪用していると同社ブログ上で報告した。北朝鮮の支援を受けたこの攻撃者らは、長期にわたる諜報活動の遂行を目的に、カスタム化したマルウェアを展開している。
Lazarusは「Hidden Cobra」や「APT38」という名称でも追跡されており、膨大な額の仮想通貨を仮想通貨関連の企業から盗み出していることで知られている。
米財務省は2019年に、北朝鮮の核兵器プログラムや弾道ミサイルプログラムの開発資金獲得を目的に、仮想通貨/銀行システムを攻撃したとして、Lazarusを制裁対象に指定している。
この脆弱性に対処するパッチは何カ月も前に適用されているべきものだ。米サイバーセキュリティ・インフラセキュリティ庁(CISA)は6月時点で、Horizonサーバーに存在しているLog4Shellの脆弱性を修正するパッチを適用するよう警告していた。また、VMwareがHorizonサーバー向けのLog4Shell対応パッチをリリースしてから9カ月も経過している。
Microsoftによると、「MuddyWater」という名称で追跡されているイラン諜報治安省(MOIS)のハッカーらも最近、パッチ未適用のLog4jを使い続けているイスラエルのあるベンダーが使用しているサーバーを介して、イスラエルの組織にLog4Shellを用いた攻撃を仕掛けているという。
Lazarusはパッチが適用されていないHorizonサーバーに侵入し、「VSingle」と「YamaBot」のほか、Ciscoが「MagicRAT」と呼ぶ、以前には見かけなかったカスタム化されたマルウェアを展開している。Ciscoは、同グループの手口の詳細を明らかにするとともに、同グループが価値ある情報を収集するために、長期的なアクセスを維持し続けようとしていると考えている。
Ciscoは同社ブログに「CiscoのTalosグループは、Horizonの公開サーバーに存在しているLog4Shellが初期の攻撃ベクターとして利用されていることを特定した。この攻撃に続いて、以降の攻撃に向けた足場を築くための一連のアクティビティーが実行され、その後にさらなるマルウェアの展開やネットワーク内の水平移動が行われる」と記している。
Lazarusは「Windows」環境のHorizonサーバーに侵入した後、VSingleを展開し、リバースシェルを確立して任意のコマンドを発行できるようにするとともに、ウイルス対策ソフトウェアの「Microsoft Defender」を無効化する。Microsoftは一般的な対策として、同ソフトウェアの改ざん防止機能を有効化しておくよう企業に推奨している。
この記事は海外Red Ventures発の記事を朝日インタラクティブが日本向けに編集したものです。
