맬웨어를 VMWare Horizon Server에 주입하는 데 적극적으로 사용되는 Log4Shell 취약점

2021년 말에 발굴된 Log4Shell이나 Log4j 취약점 으로 인해 IT 보안 분야에 발생한 지진의 여파는 여전히 파장을 일으키고 있습니다. 보안 연구원들은 VMWare Horizon 서버를 표적으로 하는 지속적인 공격을 발견하고 악명 높은 취약점을 악용하는 다양한 맬웨어로 서버를 감염시켰습니다.

Log4j는 취약점이 영향을 미치는 널리 사용되는 Java 기반 로깅 도구 의 이름입니다. Log4Shell은 기술적으로 취약점 자체의 이름이지만 이 용어는 취약점의 영향을 받는 소프트웨어의 이름인 Log4j와 상호 교환 가능하게 되었습니다.

보안 전문가들에 의해 "10년의 취약성"이라고 불리는 Log4Shell은 목록화되었을 때 10.0의 완벽한 심각도 점수를 받았습니다.

새로운 캠페인으로 크립토마이너와 백도어 확산

보안 회사 Sophos의 연구팀은 취약점을 악용하는 새로운 공격 캠페인을 모니터링하고 있습니다. 공격 캠페인을 실행하는 해커의 대상은 아직 패치되지 않은 소프트웨어를 실행하는 VMWare Horizon 서버입니다.

서버가 한 번 손상되면 여러 유형의 백도어 와 크립토마이너 악성코드 에 감염됩니다.

Log4Shell을 사용하여 시스템이 손상되면 해커는 백도어로 사용되는 합법적인 원격 액세스 및 보기 도구를 설치합니다.

JavaX, Jin, z0Miner 및 Mimu를 포함하여 이러한 공격에 사용되는 소수의 크립토마이너 악성 도구가 있습니다. 크립토마이너를 퍼뜨리는 진행중인 캠페인이 오래된 취약점을 사용하는 오래된 캠페인과 연결될 수 있다는 부분적인 증거가 있습니다.

연구원들은 손상된 VMWare Horizon 서버에 대한 크립토마이너 및 백도어 배포와 함께 데이터 수집 도구를 배포하는 이 공격 캠페인도 발견했습니다. 공격에 배포된 추가 도구는 장치에서 백업 및 시스템 데이터를 스크랩하려고 시도합니다.

Log4Shell – 사라지지 않는 익스플로잇

Log4Shell이 IT 보안을 매우 오랫동안 괴롭힐 것이라는 예측이 현실이 된 것 같습니다. 공격자들은 특별히 노력할 필요조차 없습니다. 익스플로잇에 사용되는 기본 소프트웨어를 실행하는 시스템이 엄청나게 많기 때문에 연구원들이 예측한 것처럼 앞으로 몇 년 동안 패치가 적용되지 않은 인스턴스가 있을 가능성이 높기 때문입니다.