VMware HorizonシステムでのLog4Shellの新たな悪用試み：CISAがCVE-2021-44228 Apache Log4j脆弱性を活用する脅威アクターを警告

悪名高い CVE-2021-44228 Apache Log4jの脆弱性 通称Log4Shellは、その野生での活用に関する報告と共に、依然としてサイバー防御者を悩ませ続けています。2021年12月から、未パッチのVMware HorizonとUnified Access Gateway (UAG) サーバーに存在する悪質なLog4Shellの欠陥は、脅威アクターによって広く武器化され、ターゲットとなるシステムへの初期アクセスが可能となっています。これに関して、 CISAと米国沿岸警備隊のサイバー指揮 (CGCYBER) による共同勧告では、ネットワークサイバー防御者は、関連するパッチや回避策を適用していない組織を暴露する公共向けサーバーにおけるCVE-2021-44228の欠陥を活用した新しい波の攻撃試行に注意するよう警告されています。 

VMware HorizonシステムにおけるLog4Shellの攻撃試行の新しい兆候を検出

サイバーリスクの増加に伴い、Log4Shellの脆弱性に対して脆弱なVMwareサーバーを活用する組織は、サイバー・レジリエンスを強化するための新しい方法を継続的に模索しています。SOC PrimeのDetection as Codeプラットフォームは、精選された Sigmaルール を提供しており、私たちの鋭い Threat Bounty Program の開発者、 Onur Atali and Emir Erdoganによって作成されたもので、組織はVMware HorizonとUAGサーバーにおけるCVE-2021-44228の最新の攻撃試行を検出することができます。

関連する悪意のあるPEファイルを検出してVMware HorizonシステムにおけるLog4Shellの課題を検出する可能性（file_event経由）

このSigmaルールは、業界をリードするクラウドネイティブソリューションを含む21のSIEMおよびセキュリティ分析プラットフォームで適用可能です。この検出ルールは、 MITRE ATT&CK®フレームワーク に準拠しており、Command and Scripting Interpreter (T1059)を中心技術とするExecution戦術、および対応するExploit Public-Facing Application (T1190)の技術を伴うInitial Access戦術に対応しており、敵対者が感染したネットワークに初期アクセスを取得しようとする際の行動を特定するためのものです。 

VMware HorizonシステムにおけるLog4Shell攻撃後の不審なスケジュールドタスク作成（process_creation経由）

上記のSigma検出は、SOC Primeのプラットフォームでサポートされている23のSIEM、EDR、XDRソリューションと互換性があり、Scheduled Task/Job（T1053）技術で表されるExecution ATT&CK戦術に対応し、関連する脅威に対する拡張された可視化を保証します。このSigmaルールを活用することにより、セキュリティの実務者はまた、 SOC PrimeのQuick Hunt モジュールの助けを借りて、最新のLog4Shell攻撃試行に関連する脅威を瞬時に探索することができます。 

23,000人以上のインフォセック専門家による集合的なサイバーセキュリティの専門知識によって支えられた、SOC Primeのプラットフォームは CVE-2021-44228の攻撃検出のための独自のSigmaルールの包括的なコレクションをキュレートしています。「 Detect & Hunt ボタンをクリックして、SOC Primeのプラットフォームからの全ての検出コンテンツを瞬時に詳細に確認してください。 

また、Threat Hunters、サイバー脅威インテリジェンスの専門家、SOC分析担当者は、SOC Primeのサイバー脅威検索エンジンを活用して脅威の調査を合理化することができます。「 Explore Threat Context ボタンをクリックして、CVE-2021-44228に関連する検出コンテンツのリストに瞬時にアクセスし、登録なしで指先から利用可能な関連の文脈情報を調べてください。

Detect & Hunt Explore Threat Context

AA22-174A サイバーセキュリティおよびインフラストラクチャセキュリティ庁（CISA）警告: 新しい攻撃分析

サイバー防御者たちは、新たな CVE-2021-44228 Apache Log4jの脆弱性 としても知られるLog4Shellを悪用する試みが出現していることに懸念を示しています。2021年12月に最初に登場したこの問題は、サイバー脅威の領域で依然として混乱を引き起こしています。発見されてから半年以上が経過しても、研究者たちはLog4Shellの新しい悪用試行について世界中のサイバー防御コミュニティに注意を呼びかけ続けています。 

CISAはCGCYBERとの共同で最近、 新しい攻撃についての警告を発行しました Log4Shellのエクスプロイトを使用した。国家支援のAPTを含む複数のハッキング団体がこの欠陥を武器化しており、公共向けのVMware HorizonとUAGシステムに影響を与えています。以前には、2021年2月、 イラン関連のTunnelVision APTグループ が未パッチのVMware HorizonサーバーでLog4Shellを悪用しているのが観測されており、Fortinet FortiOSの欠陥やMicrosoft Exchange ProxyShellの脆弱性も利用しています。

これらの最新の攻撃では、攻撃者はターゲットシステムにローダーマルウェアをドロップし、C2サーバーへの接続を可能にしたり、侵入したネットワークへのアクセス後に横移動やデータの流出を行ったりしています。

組織がサイバー防御の潜在能力を高めるのを助けるために、発行されたアドバイザリはMITRE ATT&CKフレームワークに基づく敵対的TTPsを強調し、関連するIOCを提供し、ローダーマルウェアに関する情報を提供します。可能な緩和策として、潜在的に影響を受けるVMware HorizonのインストールやUAGシステムを持つすべての組織は、関連する VMwareの回答 によって一覧化されたパッチや回避策を含む最新のバージョンに影響を受けたソフトウェアを更新することを強く推奨されます。 

既知の悪用された脆弱性のタイムリーなパッチングと、業界最高のサイバーセキュリティプラクティスの活用により、進歩的な組織はサイバー・レジリエンスを強化することができます。 SOC PrimeのDetection as Codeプラットフォーム を活用することにより、組織は検出および対応能力を大幅に向上させ、セキュリティ投資から即座の価値を引き出すことができます。さらに、個々の研究者は、グローバルなサイバーセキュリティコミュニティに貢献し、自身の検出コンテンツを業界仲間と共有することで、違いを生み出すことができます。 Threat Bounty Program to enrich the collective cybersecurity expertise with your own detection algorithms and gain a unique opportunity to monetize your professional skills.