イランが支援するハッカー集団がアメリカの政府機関をハッキング、Log4Shellを利用した仮想通貨のマイニングマルウェアを展開している

さまざまなプログラムに使われているJavaのログ出力ライブラリに「Log4Shell(CVE-2021-44228)」という脆弱(ぜいじゃく)性が発覚してから、仮想通貨マイニングやデータ盗難などが多発したり、政府系ハッキンググループがLog4Shellを利用していることをMicrosoftが警告したりと、大きな混乱を生んでいます。アメリカの連邦捜査局(FBI)とアメリカサイバーセキュリティ・社会基盤安全保障庁(CISA)が2022年11月16日に共同で発表した勧告によると、イラン政府から支援を受けたハッカーグループが連邦民間行政機関(FCEB)の組織をハッキングし、暗号解読マルウェア「XMRig」を導入していたことが明らかになりました。

CISA and FBI Release Advisory on Iranian Government-Sponsored APT Actors Compromising Federal Network | CISA
https://www.cisa.gov/uscert/ncas/current-activity/2022/11/16/cisa-and-fbi-release-advisory-iranian-government-sponsored-apt

US govt: Iranian hackers breached federal agency using Log4Shell exploit
https://www.bleepingcomputer.com/news/security/us-govt-iranian-hackers-breached-federal-agency-using-log4shell-exploit/

Log4ShellはJavaのログ出力ライブラリ「Apache Log4j」に発見された脆弱性です。Apache Log4jが広く利用されていることから影響範囲は大きく、セキュリティ関連組織や報道機関が修正パッチを適用するよう警告を発していますが、マルウェアの拡散やデータ盗難などの被害が多発しています。

JavaのLog4jライブラリで発見された脆弱性「Log4Shell(CVE-2021-44228)」はなぜ世界中に大きな影響を与えるのか？ - GIGAZINE

CISAもLog4Shellの流行に対応して、行政各省に修正パッチを適用するように通達を出しています。しかしその後もLog4Shell関連の脅威はやまず、2022年3月には、中国政府から国家的な支援を受けているとされるハッカー集団がアメリカ6州の政府系ネットワークに侵入した形跡があると報道されました。

中国政府系ハッカー集団「APT41」が少なくともアメリカ6州の政府系ネットワークを攻略していたという報告、Log4Shellなどの脆弱性を突き - GIGAZINE

そして2022年11月16日には、イラン政府に支援された無名の脅威グループが、Log4Shellの脆弱性をついたエクスプロイトを使用して、パッチが適用されていないサーバーに侵入した後、連邦政府のネットワークに侵入したことをCISAが発表しました。FBIとCISAの共同勧告によると、イランのハッカーは暗号通貨をマイニングするためのマルウェアを展開した後、認証情報を侵害し、さらに侵害されたサーバーにリバース・プロキシーを設定することで、FCEB機関のネットワーク内で持続性を維持したとのこと。

2021年12月にLog4Shellのパッチが公開された後、ハッカーたちは直ちにパッチが適用されていないまま放置されたシステムをスキャンし攻撃を始めたと見られています。FBIとCISAは「Log4Shellに対するパッチをまだ適用していないすべての組織は、すでにハッカーに攻撃されたと考えるべきであり、各機関はネットワーク内の悪意ある活動を探し始めるべきです」と助言しています。

勧告文の中で、CISAとFBIは以下のような緩和策や防御策を適用するよう、各組織に強く勧告しています。

・VMware Horizonおよびユニファイド・アクセス・ゲートウェイ(UAG)のシステムを最新バージョンに更新する。
・インターネットに接続された組織の攻撃対象領域を最小化する。
・サイバーセキュリティ アドバイザリ(CSA)のフレームワークにマッピングされた脅威の行動に対する、組織のセキュリティプログラムを演習、テスト、検証する。
・CSAに記載されているATT&CKテクニックに対して、組織の既存のセキュリティ制御をテストする。