Уразливість Log4Shell активно використовується для впровадження шкідливих програм на сервери VMWare Horizon
Поштовхи землетрусу, викликані уразливістю Log4Shell або Log4j , яка була виявлена наприкінці 2021 року в секторі ІТ-безпеки, все ще хвилюють. Дослідники безпеки виявили триваючі атаки, спрямовані на сервери VMWare Horizon і заражаючи їх різними шкідливими програмами, зловживаючи сумнозвісною вразливістю.
Log4j – це назва широко використовуваного інструменту ведення журналів на основі Java, на який впливає вразливість . Технічно Log4Shell — це назва самої вразливості, але терміни стали взаємозамінними з Log4j — назвою програмного забезпечення, на яке вплинула вразливість.
Log4Shell, який експерти з безпеки назвали «вразливістю десятиліття», отримав ідеальну оцінку серйозності 10,0, коли був каталогізований.
Нова кампанія поширює криптомайнери та бекдори
Дослідницька група з охоронною компанією Sophos стежить за новою кампанією атак, що зловживають уразливістю. Об’єктами хакерів, які запускають кампанію атаки, є сервери VMWare Horizon, на яких все ще працює невиправлене програмне забезпечення.
Після скомпрометації сервери заражаються кількома різними типами бекдорів , а також шкідливим програмним забезпеченням криптомайнера .
Після того, як системи були скомпрометовані за допомогою Log4Shell, хакери встановлюють законні інструменти віддаленого доступу та перегляду, які використовуються як бекдори.
У цих атаках використовується кілька шкідливих інструментів криптомайнера, зокрема JavaX, Jin, z0Miner і Mimu. Існують часткові докази того, що поточна кампанія з поширення цих криптомайнерів може бути пов’язана зі старішою, яка використовувала старішу вразливість.
Поряд з криптомайнером і розгортанням бекдорів на зламаних серверах VMWare Horizon, дослідники також помітили, що ця кампанія атаки розгортає інструменти збору даних. Додаткові інструменти, застосовані під час атак, намагаються очистити резервні копії та системні дані з пристроїв.
Log4Shell – експлойт, який не зникає
Здається, що прогнози про те, що Log4Shell буде хвилювати ІТ-безпеку дуже довгий час, збуваються. Зловмисникам навіть не потрібно особливо старатися, тому що через величезну кількість систем, на яких запущено базове програмне забезпечення, що використовується в експлойтах, ймовірно, будуть невиправлені екземпляри протягом багатьох років, як і передбачали дослідники.