2021年12月29日 筆者:Benjamin Wiley & Falcon OverWatch チーム | 最前線から
2021 年 12 月 14 日、VMware がVMware Horizon サービスの構成要素 が Log4j エクスプロイトに対して脆弱であることについてのガイダンスを発表しました。これを受けてクラウドストライク の脅威ハンティングチームである OverWatch は、 VMware Horizon で日常的に稼働する Tomcat Web サーバーサービスに関連する子プロセスの異常な挙動を調査しました。
OverWatch は、この最新の調査結果をもとに、脆弱な VMware Horizon インスタンスの下で実行す る Tomcat プロセスに起因した不審な活動を発見し、アクティブなハンズオン攻撃を阻止しました。
一連の攻撃に関わる情報から、CrowdStrike Intelligence チームは、 AQUATIC PANDA と呼ばれる攻撃者グループとこの攻撃を関連づけました。
AQUATIC PANDA は、ホストの偵察を継続し、ネイティブの OS のバイナリを使用して、現在の特権レベルやシステムドメインの 詳細を把握しようとしました。OverWatch の脅威ハンターは、EDR(エンドポイントでの検知と対応)サービスを見つけ出し停止 させようとする攻撃活動も探知しました。
この記事では、OverWatchチームが攻撃の一連の手法を追跡、攻撃者がどこにどの様な攻撃を行っていたかの詳細を画面ショットなどを交えてご紹介しております。