Last Updated on 2024-02-11 15:36 by 荒木 啓介
FritzFrogという高度なボットネットの新しいバリアントが、Log4Shellを利用して拡散しています。この脆弱性はLog4jにおいて2年以上前に発見されましたが、多くの組織がまだ対策を施していないため、攻撃者に利用され続けています。FritzFrogは、他の多くのLog4Shell攻撃とは異なり、インターネットに面したシステムやサービスを標的にするのではなく、組織がパッチを適用する可能性が低い内部ネットワーク資産を探し出し、そこを通じて拡散します。
FritzFrogは、SSHパスワードが弱いインターネットに面したサーバーをブルートフォース攻撃で感染させることから始め、感染したホストのシステムログを読み取り、ネットワーク内でさらに弱いターゲットを特定して拡散します。現在では、Log4Shellの脆弱性もスキャン対象としています。この戦略は、インターネットに面したアプリケーションが優先的にパッチが適用された一方で、内部マシンはあまり標的にされないと考えられがちで、しばしばパッチが適用されずに放置されることを利用しています。
FritzFrogは、ネットワークスキャンとLog4Shellの悪用を改善するだけでなく、特権昇格を容易にするために、Polkitのメモリ破損脆弱性CVE-2021-4034も悪用しています。この脆弱性は開示から2年が経過していますが、多くのLinuxディストリビューションでデフォルトでインストールされているため、広く普及している可能性があります。また、FritzFrogは、TORサポートやシステム内の関連しないマルウェアを排除する「アンチウイルス」モジュールのほか、Linuxの/dev/shm共有メモリフォルダやmemfd_create関数を利用して、ディスクに触れることなく検出リスクを減らすことを目指しています。
2020年に初めて発見されて以来、FritzFrogは1,500以上の被害者に対して20,000回以上の攻撃を行っています。しかし、このように多様な手法を持つ広範囲なマルウェアであっても、その弱点は非常に単純です。FritzFrogは、弱いSSHパスワードとLog4Shellを利用して拡散するため、対策としては強力なパスワードの使用とシステムのパッチ適用が最善です。
【ニュース解説】
FritzFrogという高度なボットネットが、Log4Shellという脆弱性を利用して、多くの組織の内部ネットワークを標的にしています。この脆弱性は、プログラミングライブラリLog4jに見つかったもので、2年以上前に発見されたにも関わらず、多くの組織がまだ対策を施していないため、攻撃者にとって魅力的な標的となっています。
FritzFrogは、インターネットに面したシステムやサービスではなく、組織内部のネットワーク資産を狙います。これは、内部ネットワークの資産は外部に公開されているものほど頻繁に更新や保護が行われていないという事実に基づいています。このボットネットは、SSHパスワードが弱いサーバーを初期の感染点として利用し、そこから内部ネットワーク全体に対してLog4Shellの脆弱性を持つアプリケーションを探し出して拡散します。
さらに、FritzFrogは特権昇格を容易にするために、Polkitのメモリ破損脆弱性CVE-2021-4034も悪用しています。この脆弱性は多くのLinuxディストリビューションで見られるため、攻撃の影響範囲は広いと言えます。また、このボットネットは検出を避けるために、Linuxの特定の機能を利用してディスクに触れずに活動する工夫もしています。
このニュースからわかることは、内部ネットワークのセキュリティが外部に面したシステムと同じくらい重要であるということです。組織は、内部ネットワークの資産に対しても定期的なパッチ適用やセキュリティチェックを行う必要があります。また、強力なパスワードの使用や、システムの最新のセキュリティアップデートの適用は、このような攻撃から保護するための基本的な対策となります。
長期的な視点では、組織はセキュリティ対策を継続的に更新し、新たな脅威に対応するための準備を怠らないことが重要です。FritzFrogのような高度なボットネットは、セキュリティの弱点を見つけ出し、悪用するために進化し続けています。そのため、セキュリティ対策も進化し続ける必要があります。
from FritzFrog Botnet Exploits Log4Shell on Overlooked Internal Hosts.
