Log4jでやってくるNight Sky
Night Skyは、ランサムウェアギャングです。
中国に拠点を置くとみられています。
彼らは新しい犯罪組織で、その活動は2021年12月からだと考えられています。
こんな感じです。
- ターゲットシステムは、VMware Horizon
VMware Horizonとは、VDI化(デスクトップ仮想化)を実現するための製品シリーズの名前です。 - 初期の感染活動にLog4jの脆弱性を悪用
ファイル配布部分に、パッチ未適用のVMware HorizonのLog4jの脆弱性を悪用します。 - 徹底的に暗号化
OSの継続のために必要なファイルなどの例外を除き、exeとdll以外のすべてのファイルを暗号化します。 - .nightsky拡張子
暗号化が完了したファイルには、.nightsky拡張子が追加されます。 - 脅迫メモはNightSkyReadMe[.]hta
脅迫文は、HTAファイル形式で配置されます。
HTAはHTML Applicationです。
書く内容によりますが、アプリケーションとして記述することができるファイル形式です。
バッチファイルなどのように、実行機能を持つものを作成することができます。
見た目はHTMLで作成でき、機構の部分はVBScriptかJavaScriptで実装できます。
脅迫文が実行機能まで持つ形式なんて、怖さがUPします。
Log4jのニュースはとても大きな話題になりました。
しかし現時点でもまだパッチ適用が行き届いていないのだということを感じます。
たしかに、利用している製品に含まれている場合のように、直接Log4jを使用していない場合、その問題への対策は容易ではないケースもあるでしょう。
しかし、だからといって、犯罪者は待ってくれません。
利用者や運用者や製品提供者などいろいろな立場がありますが、どの立場においてもやるべきことを速やかに実施していければよいですね。
参考記事(外部リンク):Night Sky Ransomware Distributed via Log4j Exploits
www.bankinfosecurity.com/night-sky-ransomware-distributed-via-log4j-exploits-a-18294
