Log4Shell, eksploatacija nultog dana predstavljena javnosti krajem prošlog tjedna, sada zapaljuje većinu interneta. Istraživači su primijetili da nekoliko aktera prijetnji aktivno iskorištava ovaj bug iz raznih razloga.
Nekoliko među njima skenira web u potrazi za ranjivim poslužiteljima kako bi eksfiltrirali podatke, instalirali zlonamjerni softver za pokretanje rudara kriptovaluta, pa čak i kompromitirali IoT uređaje kako bi ih povukli u botnet. Zakrpa je dostupna od dobavljača i preporučuje se da se odmah primijeni.
Log4Shell iskorištava u divljini
Poput kampanja BlueKeep i SolarWinds, sada počinjemo vidjeti veliki val kibernetičkih napada temeljenih na nedavno otkrivenoj sigurnosnoj ranjivosti Log4j. Nazvan Log4Shell, otkrio ga je Alibabin tim za sigurnost u oblaku prošlog tjedna javno objavljenim dokazom koncepta.
To je navelo mnoge sigurnosne istraživače i aktere prijetnji da uskoče sa svojim osobnim razlozima za iskorištavanje. Na primjer, kao primijetio je BleepingComputer, nekoliko istraživača i aktera prijetnji aktivno skenira web u potrazi za Log4j ranjivim poslužiteljima i postavlja zlonamjerni softver za instaliranje rudara kriptovalute!
Pronašli su Kinsing backdoor i botnet za kripto rudarenje koji iskorištava grešku Log4j s Base64 kodiranim korisnim sadržajem za izvršavanje skripti i kodova ljuske, koji uklanjaju bilo koji postojeći zlonamjerni softver u sustavu i instaliraju njihov rudar kriptovalute.
Također, postoji izvješće iz Netlaba 360 da akteri prijetnji iskorištavaju ranjive poslužitelje za instaliranje zlonamjernog softvera Mirai i Muhstik, čiji je posao kompromitirati i dodati što više IoT uređaja i poslužitelja na svoje botnete. Oni će se zauzvrat koristiti za postavljanje kriptominara ili provođenje DDoS napada velikih razmjera.
Microsoftov Threat Intelligence Center također zabilježeni napadi protiv poslužitelja s Log4j ranjivostima, gdje su akteri prijetnje bacali Cobalt Strike beacone na daljinski mrežni nadzor i izvršavali daljnje naredbe.
Napokon, sigurnosni istraživači skeniraju i iskorištavaju ranjive Log4j poslužitelje s bugovima za nagrade za bugove i razotkrivaju slabosti određenih tvrtki. Oni tjeraju poslužitelje na pristup URL-ovima ili izvršavanje DNS zahtjeva za povratne domene. Neki od njih uključuju:
interactsh.com
burpcollaborator.net
dnslog.cn
bin${upper:a}ryedge.io
leakix.net
bingsearchlib.com
205.185.115.217:47324
bingsearchlib.com:39356
canarytokens.com
Zaklada softvera Apache, proizvođač Log4j Java paketa za bilježenje, nedavno je izdao zakrpanu verziju ovog softvera. Ipak, mnogi nisu svjesni iskorištavanja u divljini i postaju žrtve hakera. Stoga se toplo preporučuje da ažurirate sustave što je prije moguće kako biste ostali sigurni.
