1,5K
Bitdefender har precis släppt ny rapport om hur angripare aktivt använder Log4j-sårbarheten och de attacker man ser och övervakar.
I rapporten bekräftar Bitdefender att de ser framgångsrika fall av attacker för att bädda in kryptogrävare (cryptominers) och försök till attacker för att släppa ransomware.
Andra slutsatser från rapporten
- Angripare försöker distribuera Khonsari, en ny ransomware-familj, för att rikta in sig på system som kör operativsystemet Windows. De flesta av de tidiga attackerna hittills har riktats mot Linux-servrar.
- Angripare försöker också använda sårbarheten för att distribuera Orcus Remote Access Trojan (RAT). Under attacken görs försök att ladda ner skalkod från hxxp://test.verble.rocks/dorflersaladreviews.bin.encrypted och injicera den i minnet av conhost.exe-processen. Skalkoden dekrypterar och laddar in en annan skadlig nyttolast, som verkar vara Orcus som ansluter till test.verble[.]rocks kommando- och kontrollserver.
- Angripare försöker använda sig av tekniken “reverse bash shells”. Denna teknik används för att få fotfäste i system för senare exploatering. Att distribuera ett omvänt skal på dessa sårbara servrar är relativt enkelt att göra och kommer troligen att följas av en fullskalig attack någon gång.
-
Bitdefender ser att flera botnät redan utnyttjar denna sårbarhet. Botnät är inriktade på servrar för att distribuera bakdörrar och utöka sitt botnät-nätverk. Mer specifikt har vi identifierat Muhstik-botnätet som en av de tidiga användare. För botnätsoperatörer är massinstallation avgörande för framgång. Att övervaka botnätsaktivitet är ofta en bra förutsägelse av hur farlig en ny RCE verkligen är och potentiella attacker.
