Контакты
Подписка 2023
Импортозамещение ИТ-решений и ПО
22 июня 2023. Импортозамещение ИТ-решений и ПО в госсекторе и ключевых отраслях
Жми, чтобы участвовать

Преступники эксплуатируют Log4Shell для установки банковского трояна Dridex

21/12/21

hack bank6-Dec-21-2021-09-51-42-63-AMКиберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell (CVE-2021-44228) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.

По словам исследователей в области кибербезопасности из Cryptolaemus, уязвимость Log4Shell теперь эксплуатируется с целью заражения устройств под управлением Windows трояном Dridex и устройств под управлением Linux с помощью оболочки Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.

После запуска класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если класс Java не может выполнить команды Windows, значит устройство работает под управлением Linux/Unix, и в таком случае начнется загрузка и выполнение Python-скрипта для установки Meterpreter.

Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, позволяющую устанавливать дополнительные полезные нагрузки, перемещаться по сети жертвы, похищать данные или выполнять команды.

На устройствах под управлением Windows класс Java загружает HTA-файл, открывает его и создает файл VBS в папке C:\ProgramData. VBS-файл выполняет роль основного загрузчика для Dridex и ранее уже использовался в других кампаниях по распространению вредоноса.

Как предупредили эксперты, другие операторы вредоносов вскоре также начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется просканировать свои сети на предмет уязвимых приложений, использующих Log4j, и обновить их до последних версий.

Темы:БанкиУгрозытрояныLog4Shell
30 мая 2023. Онлайн-конференция. Безопасные российские СУБД и защита от утечек
4 июля 2023. Эволюция антивирусов: установить нельзя заменить
Жми, чтобы участвовать
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
20 июня 2023. Безопасные российские СУБД и защита от утечек
20.06.23: Безопасные российские СУБД и защита от утечек
Жми, чтобы участвовать

Еще темы...