FritzFrogがLog4Shell脆弱性で内部ネットワークを狙う: 新たな脅威の波

Last Updated on 2024-09-17 05:23 by 門倉 朋宏

FritzFrogというP2Pボットネットの背後にいる脅威アクターが、Log4Shell脆弱性を利用して既に侵害されたネットワーク内でマルウェアを拡散する新しいバリアントで戻ってきました。この脆弱性は、可能な限り多くの脆弱なJavaアプリケーションをターゲットにするブルートフォース方式で悪用されています。Akamaiによると、FritzFrogは2020年1月から活動しており、主に弱いSSH認証情報を持つインターネットに面したサーバーを対象としています。このマルウェアは、医療、教育、政府部門を攻撃し、感染したホストに暗号通貨マイナーを展開する能力を向上させました。最新バージョンの特徴は、Log4Shell脆弱性を二次感染ベクトルとして使用し、脆弱な公開アセットをターゲットにするのではなく、内部ホストを特定することです。また、SSHブルートフォースコンポーネントも、被害者のシステムログを列挙することで特定のSSHターゲットを識別するための改良が施されました。さらに、CVE-2021-4034として追跡されるPwnKitの欠陥を利用してローカル特権昇格を達成する変更があります。FritzFrogは、可能な限りディスクにファイルをドロップしないようにすることで、検出を避けて隠れるための戦術を継続しています。これは、/dev/shmの共有メモリロケーションとmemfd_createを使用してメモリ内ペイロードを実行することで達成されています。

一方、Akamaiは、InfectedSlursボットネットがHitron Systemsの複数のDVRデバイスモデルに影響を与える既に修正されたセキュリティの欠陥（CVE-2024-22768からCVE-2024-22772、およびCVE-2024-23842）を積極的に悪用して、分散型サービス拒否（DDoS）攻撃を開始していることを明らかにしました。

【ニュース解説】

FritzFrogという名前のP2P（ピアツーピア）ボットネットが、Log4ShellとPwnKitの脆弱性を利用して、既に侵害されたネットワーク内でマルウェアを拡散する新しい手法で再び活動を開始しました。このボットネットは、2020年1月から活動しており、特に弱いSSH認証情報を持つインターネットに面したサーバーを狙っています。最新のバリアントでは、内部ネットワーク内の未パッチのシステムを狙うことで、公開されている脆弱なアセットだけでなく、内部のホストにも感染を広げることが可能になりました。

この攻撃は、Javaアプリケーションに存在するLog4Shell脆弱性を悪用し、ブルートフォース（力任せの試行錯誤）方式で多くの脆弱なアプリケーションをターゲットにします。また、SSHブルートフォース攻撃の手法も改良され、被害者のシステムログを列挙することで、より具体的なSSHターゲットを識別する能力が向上しています。さらに、ローカル特権昇格を達成するために、PwnKitという別の脆弱性も利用されています。

FritzFrogは、検出を避けるために、ファイルをディスクに保存することなく、/dev/shmの共有メモリロケーションやmemfd_createを使用してメモリ内でペイロードを実行するという手法を採用しています。これにより、マルウェアはより隠密に活動することが可能になります。

このニュースは、内部ネットワークのセキュリティが外部からの攻撃だけでなく、内部からの脅威にもさらされていることを示しています。インターネットに面したアプリケーションがパッチされていても、内部のシステムが未パッチであれば、攻撃者はそれを利用してマルウェアを拡散させることができます。このため、組織は内部ネットワークのセキュリティ対策を強化し、すべてのシステムを定期的に更新して脆弱性を修正することが重要です。

また、この攻撃は、SSH認証情報の強化、内部ネットワークの監視の強化、脆弱性の迅速な修正など、組織がセキュリティ対策を総合的に見直すきっかけとなるべきです。攻撃者は常に新しい手法を模索しており、セキュリティは進化し続ける必要があります。

from FritzFrog Returns with Log4Shell and PwnKit, Spreading Malware Inside Your Network.