トレンドマイクロ、VMware製品での脆弱性Log4Shellの悪用による攻撃事例を確認

　トレンドマイクロ株式会社は8月16日、脆弱性「Log4Shell」によるVMware製品での情報漏えいやランサムウェア被害について発表した。

　同社によると、VMware社の仮想化ソフトウェア製品VMware Horizonの特定のバージョンで、脆弱性Log4Shellの悪用による攻撃事例を確認し解析したところ、多くが感染端末からの情報漏えいを伴い、一部のケースでは情報漏えいの数日後にランサムウェアに感染したことも判明したという。

　セキュリティ機関Sentinel Labsのレポートでは、VMwareのコマンドラインユーティリティを利用したランサムウェアLockBitによるサービスとしてのランサムウェア（RaaS）の手法について言及し、ユーティリティを通じてDLLサイドローディングの影響を受けやすいことも示されたが、トレンドマイクロでもエントリポイントやサイドローディングについて、Sentinel Labsと同様の挙動を確認している。

　本攻撃は、VMware Horizonに存在するJava向けのログ出力ライブラリ「Apache Log4j」の脆弱性の悪用から始まり、その後、PowerShellコマンド実行のためのインスタンスを生成する。攻撃者は、PowerShellコマンドを使用し、攻撃対象のネットワークを検出し、mfeann.exe、LockDown.DLL、c0000012.logのファイルをダウンロードするとのこと。

　同記事では、DLLサイドローディングの詳細や注目すべき手法やツール、ネットワーク内で他の端末への水平移動・内部活動、情報送出、情報送出後の活動について解説している。