Как только уязвимость была обнаружена, злоумышленники использовали проблему для выполнения shell-скриптов для загрузки установки криптомайнеров. Shell-скрипт удаляет конкурирующие вредоносные программы с уязвимого устройства, а затем загружает и устанавливает вредоносное ПО Kinsing для майнинга криптовалюты.
Как сообщили специалисты Netlab 360, хакеры с помощью Log4Shell устанавливают вредоносные программы Mirai и Muhstik на уязвимые устройства. Семейства вредоносных программ устанавливают криптомайнеры и позволяют выполнять крупномасштабные DDoS-атак. Зафиксированный экспертами атаки были направлены на устройства под управлением Linux.
По словам специалистов из Microsoft Threat Intelligence Center, уязвимость в Log4j также использовалась для установки маячков Cobalt Strike.
Однако уязвимость эксплуатируется не только для установки вредоносов. Злоумышленники и исследователи в области безопасности используют эксплоит для сканирования Сети на предмет уязвимых серверов и получения информации о них. Уязвимые серверы можно заставить обращаться к URL-адресам или выполнять DNS-запросы для доменов обратного вызова. Это позволяет определить, является ли сервер уязвимым, и использовать его для будущих атак, исследований или попыток получить выплату в рамках программы за обнаружение уязвимостей.
В настоящее время не были зафиксированы случаи эксплуатации уязвимости вымогательскими или APT-группировками, однако факт развертывания маяков Cobalt Strike указывает на предстоящее вредоносные кампании.
Пользователем настоятельно рекомендуется обновиться до последней версии Log4j с целью как можно скорее исправить уязвимость.