Уязвимость Log4j теперь используется для установки банковского вредоносного ПО Dridex

6
Windows 11 снова взломана на Pwn2Own, Telsa Model 3 также падает

Злоумышленники теперь используют критическую уязвимость Apache Log4j под названием Log4Shell для заражения уязвимых устройств с помощью печально известного банковского трояна Dridex или Meterpreter.

Вредоносное ПО Dridex — это банковский троян, изначально разработанный для кражи учетных данных онлайн-банкинга у жертв. Однако со временем вредоносная программа превратилась в загрузчик, который загружает различные модули, которые могут использоваться для выполнения различного вредоносного поведения, такого как установка дополнительных полезных нагрузок, распространение на другие устройства, создание снимков экрана и т. д.

Также известно, что заражение Dridex приводит к атакам программ-вымогателей в результате операций, которые, как считается, связаны с хакерской группой Evil Corp. Эти заражения программами-вымогателями включают BitPaymer, DoppelPaymer и, возможно, другие варианты программ-вымогателей ограниченного использования.

Log4j используется для установки Dridex и Meterpreter

Сегодня исследовательская группа по кибербезопасности Cryptolaemus предупредила, что уязвимость Log4j теперь используется для заражения устройств Windows трояном Dridex и устройствами Linux с помощью Meterpreter.

Член Cryptolaemus Джозеф Роузен сообщил, что злоумышленники используют вариант эксплойта Log4j RMI (Remote Method Invocation), чтобы заставить уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого злоумышленником.

При запуске класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если он не может выполнять команды Windows, он будет считать, что устройство работает под управлением Linux / Unix, и загрузит и выполнит сценарий Python для установки Meterpreter.

Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, которую они могут использовать для развертывания дополнительных полезных нагрузок или выполнения команд.

Злоумышленники Dridex известны тем, что используют расовые и религиозные оскорбления в своих именах файлов и URL-адресах.

В Windows класс Java загрузит файл HTA и откроет его, что приведет к созданию файла VBS в папке C: \ ProgramData. Этот файл VBS действует как основной загрузчик для Dridex и ранее уже использовался в других кампаниях электронной почты Dridex.

При запуске файл VBS проверяет, является ли пользователь частью домена Windows, проверяя различные переменные среды. Если пользователь является частью домена, файл VBS загрузит Dridex DLL и выполнит ее с помощью Rundll32.exe.

Как было сказано ранее, если исходный эксплойт класса Java не может запускать команды Windows, он будет считать, что используется устройство Unix / Linux, и вместо этого загрузит скрипт python m.py.

Вышеупомянутый сценарий содержит сценарий в кодировке base64, который будет выполнен для установки Meterpreter, инструмента тестирования на проникновение, который обеспечивает обратную оболочку для злоумышленников.

Используя Meterpreter, злоумышленники могут подключаться к взломанному серверу Linux и удаленно выполнять команды для дальнейшего распространения в сети, кражи данных или развертывания программ-вымогателей.

Поскольку Log4j используется злоумышленниками для установки широкого спектра вредоносных программ, неудивительно, что более активные вредоносные операции начнут нацеливаться на уязвимость.

Мы должны ожидать, что другие вредоносные программы начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется сканировать уязвимые приложения, использующие Log4j, и обновлять их до последних версий.

Это включает обновление Log4j до последней версии, теперь версии 2.17, выпущенной в эту субботу, чтобы исправить новую уязвимость отказа в обслуживании.

Доступно множество сканеров Log4j, которые можно использовать для поиска уязвимых приложений, включая новый локальный сканер из системы безопасности Profero.

 

Последнее обновление 8 месяцев назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest
0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии