TunnelVision APTグループがLog4jを悪用

2021年で最も悪名高いエクスプロイトの1つが、12月にサイバーセキュリティの世界に大きな衝撃をもたらしましたが、今 Log4Shell が再び注目されています。イラン系のTunnelVision APTが、VMware HorizonのLog4j脆弱性を利用して、Fortinet FortiOS（CVE-2018-13379）やMicrosoft Exchange（ProxyShell）などの大規模なエクスプロイトを行い、利益を得ようとしているのです。

TunnelVisionの活動検出

現在のデータによると、TunnelVisionの最終的な目的は、パッチが適用されていないVMware Horizonサーバーを利用してランサムウェアを配布することです。以下のSigmaルールで脅威アクターの活動を特定してください。：持続性を維持するために使用されるコマンドライン、DLLサイドローディング、およびFortinet FortiOS、ProxyShell、Log4Shellなどの1日脆弱性の広範囲なエクスプロイトに関連するその他の疑わしい動作を検出します。

Log4jの脆弱性を介してVMware Horizonを利用するTunnelVisionの脅威アクター（プロセス作成経由）

VMware HorizonにおけるLog4j（CVE-2021-44228）の脆弱性のエクスプロイト（スケジュールドタスクの作成経由）

コマンドラインを介したVMware HorizonのLog4j（CVE-2021-44228）脆弱性のエクスプロイトによるProphet Spider

VMBlastSGサービスを介したVMware HorizonにおけるLog4j RCE（CVE-2021-44228）のターゲット

プロセス作成経由で再び脆弱なVMware HorizonサーバーがLog4jエクスプロイトのリスクに直面

プロセス作成経由で再び脆弱なVMware HorizonサーバーがLog4jエクスプロイトのリスクに直面

これらのルールは、当社の鋭いThreat Bounty開発者によって提供されています。 Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.

TunnelVisionの攻撃者たちは、Fast Reverse Proxy Client（FRPC）やPlinkなどのトンネリングツールを使用して検出を回避することが確認されています。この環境において、すべてのセキュリティプロフェッショナルは、コミュニティを通じて脅威インテリジェンスを共有し、利用可能な侵害指標を活用することが強く推奨されます。さらに、防御と検出のルーティンを一段引き上げる機会を活用することは賢明です。検出コンテンツの全リストを確認するには、SOC Primeプラットフォームをご覧ください。サイバーセキュリティの専門家は、Threat Bountyプログラムに参加して、業界をリードするプラットフォーム上でSOCコンテンツを公開し、価値ある貢献に対して報酬を受けることを歓迎しています。

検出の表示 Threat Bountyに参加する

TunnelVision APTグループのエクスプロイト

セキュリティは最も弱いリンクほどしか強くありません。数ヶ月前、Log4jライブラリは脅威アクターの犠牲者デバイスやネットワークへの主要なゲートウェイとなりました。自 Log4Shell、別名Log4jまたはLogJamは、2021年12月に初めて表面化して以来、世界中の企業が重大なサイバーセキュリティの懸念に直面しています。悪名高いLog4Shellは、インシデントの深刻さと、その増加スピードによってデジタルセキュリティコミュニティを驚愕させました。このライブラリのバグを利用することで、認証されていないリモートコード実行が可能になり、システム全体を危険にさらすことができました。多くの敵対者を引き付け、野放しにエクスプロイトされました。

今日、TunnelVisionは、中東とアメリカを主要なターゲット地域として、Log4jの脆弱性、Fortinet FortiOS、Microsoft Exchangeをエクスプロイトしています。 SentinelOne 研究者の報告によると、TTPの分析は、イランの国家支援ハッカー組織であるNemesis Kitten、Phosphorus、Charming Kittenの特徴的なパターンを追跡しています。

VMware HorizonにおけるLog4jのエクスプロイトは、VMware製品のTomcatサービスから発生する悪意のあるプロセスによって特徴付けられます。研究者によれば、敵対者たちは最初にLog4jをエクスプロイトしてPowerShellコマンドを実行し、その後、Tomcatを通じてPS逆シェルコマンドを続行します。PowerShellを使用して、脅威アクターはPowerShellバックドアを仕掛けることを目的に、Ngrokなどのトンネリングツールをダウンロードします。最初のエクスプロイトパッケージは実行可能なInteropServices.exeが含まれたzipファイルであり、2番目は以前のキャンペーンで国家支援ハッカーによって広く使用されたPowerShellワンライナーの修正版です。

TunnelVisionは、GitHubリポジトリ「VmWareHorizon」を使用して、作戦中のペイロードを格納したと報告されています。

まとめ

APTは現代のサイバーセキュリティ脅威の枠組みの中で優れた危険な側面です。 SOC Primeプラットフォーム はAPTのカスタマイズされたハッキングソリューションに対抗するための迅速で効率的な防御を支援します。CCMモジュールのコンテンツストリーミング機能をテストし、毎日のSOC運用をサイバー脅威インテリジェンスで強化する手助けをしてください。急速に進化するサイバーセキュリティリスクの環境に指を置き、最良の緩和策を得るために SOC Prime.