CrowdStrike、AQUATIC PANDAによる侵入の試みでLog4Shellエクスプロイトツールの悪用を検知

　クラウドストライク株式会社は2021年12月29日、同社の脅威ハンティングチーム OverWatch が 攻撃者グループAQUATIC PANDAのハンズオンによる侵入の試みにおいてLog4Shellエクスプロイトツールの悪用を検知したと発表した。

　VMwareが2021年12月14日に、VMware Horizonサービスの構成要素がLog4jエクスプロイトに対し脆弱であるとガイダンス発表したことを受け、OverWatchではVMware Horizonで日常的に稼働するTomcat Webサーバサービスに関連する子プロセスの異常な挙動の調査を実施、その結果をもとに脆弱なVMware Horizonインスタンスの下で実行するTomcatプロセスに起因した不審な活動を発見し、アクティブなハンズオン攻撃を阻止したという。CrowdStrike Intelligenceチームでは、一連の攻撃に関わる情報からこの攻撃とAQUATIC PANDAを関連づけている。

　AQUATIC PANDAは、ホストの偵察を継続し、ネイティブのOSのバイナリを使用し現在の特権レベルやシステムドメインの 詳細を把握しようとしたが、OverWatchの脅威ハンターはEDRサービスを見つけ出し停止させようとする攻撃活動を探知した。

　クラウドストライクでは、OverWatchチームが攻撃の一連の手法を追跡し、どの様な攻撃を行っていたかの詳細を画面ショット等を交えて紹介するPDF5ページにわたるレポートを公開している。