Log4Shell-haavoittuvuutta käytetään aktiivisesti haittaohjelmien syöttämiseen VMWare Horizon -palvelimiin

Vuoden 2021 lopulla paljastuneen Log4Shell- tai Log4j-haavoittuvuuden IT-tietoturvasektorilla aiheuttaman maanjäristyksen jälkijäristykset tekevät edelleen aaltoja. Tietoturvatutkijat havaitsivat jatkuvia hyökkäyksiä, jotka kohdistuvat VMWare Horizon -palvelimiin ja tartuttavat niitä erilaisilla haittaohjelmilla hyödyntäen pahamaineista haavoittuvuutta.

Log4j on laajasti käytetyn Java-pohjaisen lokityökalun nimi, johon haavoittuvuus vaikuttaa . Log4Shell on teknisesti itse haavoittuvuuden nimi, mutta termit ovat vaihdettavissa Log4j:n kanssa - haavoittuvuuden kohteena olevan ohjelmiston nimen kanssa.

Tietoturvaasiantuntijoiden "vuosikymmenen haavoittuvuudeksi" kutsuma Log4Shell sai täydellisen vakavuuspisteen 10,0, kun se luetteloitiin.

Uusi kampanja levittää kryptominereita ja takaovia

Tutkimusryhmä tietoturvayhtiö Sophosin kanssa seuraa uutta meneillään olevaa hyökkäyskampanjaa, joka käyttää haavoittuvuutta väärin. Hyökkäyskampanjaa suorittavien hakkereiden kohteena ovat VMWare Horizon -palvelimet, joilla on edelleen korjaamattomia ohjelmistoja.

Kerran vaarantuneet palvelimet ovat saastuneet useilla erityyppisillä takaovilla sekä kryptomer-haittaohjelmilla .

Kun järjestelmät on vaarantunut Log4Shellin avulla, hakkerit asentavat laillisia etäkäyttö- ja katselutyökaluja, joita käytetään takaovina.

Näissä hyökkäyksissä on käytetty kourallista kryptominerin haitallisia työkaluja, mukaan lukien JavaX, Jin, z0Miner ja Mimu. On osittaista näyttöä siitä, että meneillään oleva kampanja, joka levittää näitä kryptomineraajia, saattaa liittyä vanhaan kampanjaan, joka käytti vanhempaa haavoittuvuutta.

Salauksen ja takaoven käyttöönoton ohella vaarantuneilla VMWare Horizon -palvelimilla tutkijat huomasivat myös tämän hyökkäyskampanjan, jossa käytettiin tiedonkeruutyökaluja. Hyökkäyksissä käytetyt lisätyökalut yrittävät kaapata varmuuskopioita ja järjestelmätietoja laitteista.

Log4Shell – hyväksikäyttö, joka ei katoa

Ennusteet siitä, että Log4Shell vaivaa IT-tietoturvaa hyvin pitkään, näyttävät toteutuvan. Hyökkääjien ei tarvitse edes yrittää erityisen lujasti, koska järjestelmien valtavan määrän vuoksi, jotka käyttävät hyväksikäytön taustalla olevia ohjelmistoja, tulee todennäköisesti olemaan korjaamattomia tapauksia tulevina vuosina, aivan kuten tutkijat ennustivat.