13/12/21
Киберпреступники активно ищут и эксплуатируют критическую уязвимость Log4Shell ( CVE-2021-44228 ) в платформе логирования Apache Log4j на базе Java для установки вредоносных программ. Уязвимость позволяет злоумышленникам удаленно выполнить код на уязвимом сервере, просто выполнив поиск или изменив пользовательский агент браузера на специальную строку.
Как только уязвимость была обнаружена, злоумышленники использовали проблему для выполнения shell-скриптов для загрузки установки криптомайнеров. Shell-скрипт удаляет конкурирующие вредоносные программы с уязвимого устройства, а затем загружает и устанавливает вредоносное ПО Kinsing для майнинга криптовалюты.
Как сообщили специалисты Netlab 360, хакеры с помощью Log4Shell устанавливают вредоносные программы Mirai и Muhstik на уязвимые устройства. Семейства вредоносных программ устанавливают криптомайнеры и позволяют выполнять крупномасштабные DDoS-атак. Зафиксированный экспертами атаки были направлены на устройства под управлением Linux.
По словам специалистов из Microsoft Threat Intelligence Center, уязвимость в Log4j также использовалась для установки маячков Cobalt Strike.
Однако уязвимость эксплуатируется не только для установки вредоносов. Злоумышленники и исследователи в области безопасности используют эксплоит для сканирования Сети на предмет уязвимых серверов и получения информации о них. Уязвимые серверы можно заставить обращаться к URL-адресам или выполнять DNS-запросы для доменов обратного вызова. Это позволяет определить, является ли сервер уязвимым, и использовать его для будущих атак, исследований или попыток получить выплату в рамках программы за обнаружение уязвимостей.
В настоящее время не были зафиксированы случаи эксплуатации уязвимости вымогательскими или APT-группировками, однако факт развертывания маяков Cobalt Strike указывает на предстоящее вредоносные кампании.
Пользователем настоятельно рекомендуется обновиться до последней версии Log4j с целью как можно скорее исправить уязвимость.
