Уязвимость Log4j теперь используется государственными хакерами и брокерами доступа

По данным FTC, в 2021 году американцы потеряли 547 миллионов долларов из-за мошенничества в романтических отношениях

Как и ожидалось, хакеры всех мастей ухватились за возможность эксплуатировать недавно обнаруженную критическую уязвимость (CVE-2021-44228) в библиотеке ведения журналов Apache Log4j на основе Java.

Эта уязвимость, также известная как Log4Shell или LogJam, сейчас используется злоумышленниками, связанными с правительствами Китая, Ирана, Северной Кореи и Турции, а также брокерами доступа, используемыми бандами вымогателей.

Все хакеры переходят на Log4Shell

Среди первых злоумышленников, которые использовали Log4Shell для сброса полезной нагрузки, были группы майнинга криптовалюты и ботнеты, которые начали атаковать сразу после того, как стал доступен экспериментальный код эксплойта.

В воскресном отчете Microsoft Threat Intelligence Center (MSTIC) обнаружил, что критическая ошибка Log4j используется для сбрасывания маяков Cobalt Strike , что может указывать на то, что в игре участвовали более опасные субъекты, поскольку полезная нагрузка часто является частью сетевых нарушений.

MSTIC обновил отчет во вторник, добавив, что он обнаруживал активность национального государства с помощью Log4Shell, иногда в активных атаках. Исследователи отслеживали группы «группы, происходящие из Китая, Ирана, Северной Кореи и Турции».

«Эта деятельность варьируется от экспериментов во время разработки, интеграции уязвимости до развертывания полезной нагрузки в реальных условиях и эксплуатации против целей для достижения целей субъекта», Microsoft Threat Intelligence Center

Одним из действующих лиц является иранская группа угроз Phosphorus, также известная как Charming Kitten, APT 35, которая, по наблюдениям Microsoft, «приобретала и вносила изменения» в эксплойт Log4Shell.

В отличие от большинства APT-групп, действующих в наши дни, Charming Kitten также неоднократно подвергался атакам программ-вымогателей, в основном с целью срыва операций, а не для получения прибыли, наряду с деятельностью кибершпионажа.

Еще один субъект угрозы со стороны государства, использующий ошибку Log4Shell, — это Hafnium, хакерская группа, связанная с Китаем.

Злоумышленник стал более широко известен после эксплуатации уязвимостей нулевого дня ProxyLogon в Microsoft Exchange Server в период между сообщениями об ошибках и появлением исправления.

Microsoft сообщает, что Hafnium теперь использует Log4Shell в атаках на инфраструктуру виртуализации, «чтобы расширить свой типичный таргетинг.

По словам исследователей, системы, которые Hafnium использовал в этих атаках, использовали службу DNS, которая обычно используется при тестировании машин для снятия отпечатков пальцев.

Фирма по кибербезопасности Mandiant подтвердила, что китайские и иранские государственные субъекты используют уязвимость Log4j в атаках и ожидают, что другие группы будут делать то же самое или находиться на стадии подготовки.

Джон Халтквист, вице-президент по анализу интеллекта в Mandiant, сказал BleepingComputer, что злоумышленники, не теряя времени, создают постоянство в целевых сетях для дальнейшего развития атаки.

«Мы считаем, что эти участники будут работать быстро, чтобы создать плацдарм в желаемых сетях для последующей деятельности, которая может длиться некоторое время. В некоторых случаях они будут работать из списка желаемых целей, который существовал задолго до того, как эта уязвимость стала достоянием общественности. В других случаях желаемые цели могут быть выбраны после широкого нацеливания»- Джон Халтквист

Хотя в отчете MSTIC также упоминаются поддерживаемые государством хакерские группы из Северной Кореи и Турции, исследователи не предоставили никакой информации о том, как эти субъекты использовали Log4Shell.

Ожидаемые атаки программ-вымогателей

Помимо субъектов на национальном уровне, Microsoft подтвердила, что брокеры, предоставляющие начальный доступ к сети различным группам, в основном финансово мотивированные, также начали использовать уязвимость Log4j.

Брокеры первоначального доступа обычно работают с операциями «программа-вымогатель как услуга» (RaaS), которым они продают доступ к скомпрометированным сетям компании.

«Мы наблюдали попытки этих групп использовать как в системах Linux, так и в Windows, что может привести к усилению воздействия программ-вымогателей, управляемых человеком, на обе эти платформы операционных систем», — Microsoft Threat Intelligence Center

Log4Shell уже использовался в атаке программы-вымогателя со стороны нового актера по имени Хонсари , говорится в отчете Bitdefender.

На основании доступной информации, Khonsari может использоваться для стирания данных вместо их шифрования, поскольку в его записке о выкупе вместо злоумышленника указаны контактные данные владельца антикварного магазина в Луизиане.

Неудивительно, что Log4Shell привлекает хакеров всех мастей. Ошибка имеет максимальную степень серьезности и может использоваться удаленно без аутентификации, чтобы получить полный контроль над уязвимой системой. Кроме того, уязвимая библиотека Log4j включена в продукты от десятков поставщиков .

Учитывая ущерб, который может вызвать эта ошибка, Агентство безопасности инфраструктуры кибербезопасности (CISA) приказало федеральным агентствам немедленно исправить системы.

Последнее обновление 16.12.2021