L’exposition Log4j Log4Shell est analysée et utilisée par les cybercriminels et les chercheurs.
Dans la plate-forme de journalisation Apache Log4j basée sur Java, un exploit a été rendu public pour une faille zero-day sensible nommée “Log4Sheel” tôt vendredi matin. En utilisant cette vulnérabilité, les acteurs de la menace exécutent à distance une commande sur un serveur vulnérable. Cela avait été fait simplement en recherchant ou en modifiant l’agent utilisateur en une chaîne spéciale dans leur navigateur.
Pour corriger l’exposition, Log4j 2.15.0 a été publié par Apache. Néanmoins, pour déployer des logiciels malveillants, exfiltrer des données ou prendre le contrôle du serveur, le serveur vulnérable avait déjà été initié pour rechercher et exploiter par les attaquants.
Les experts en sécurité craignent que cela n’entraîne des attaques généralisées et l’installation de logiciels malveillants, car de nombreux sites Web et applications d’entreprise utilisent ce logiciel.
Les criminels utilisent Log4Shell pour déployer des logiciels malveillants
Table of Contents
Les distributeurs de logiciels malveillants commencent à utiliser la vulnérabilité chaque fois qu’une faille d’exécution de code à distance facilement exploitable est révélée.
Cryptomineurs
Une fois la vulnérabilité rendue publique, la faille Log4Shell a été exploitée par les cyber-escrocs pour exécuter des scripts shell qui conduisent au téléchargement et à l’installation de plusieurs cryptomineurs.
Les escrocs derrière la porte dérobée Kinsing et le botnet de cryptomining utilisent de manière significative la vulnérabilité Log4j avec des charges utiles chiffrées en Base64 qui permettent au serveur exposé de télécharger et d’exécuter des scripts shell.
Réseaux de zombies Mirai et Muhstik
Les rapports indiquent que la faille a également été exploitée par les cyber-délinquants pour déployer les logiciels malveillants Mirai et Muhstik sur les systèmes vulnérables.
Les chercheurs de Netlab 360 ont déclaré : « Ce matin, nous avons obtenu les premières réponses, nos pots de miel Anglerfish et Apacket ont attrapé 2 vagues d’attaques utilisant la vulnérabilité Log4j pour former des botnets, et une analyse rapide d’échantillons a montré qu’ils ont été utilisés pour former respectivement les botnets Muhstik et Mirai. , tous deux ciblant les appareils Linux ».
Balises de frappe au cobalt
Les cybercriminels utilisent également la vulnérabilité Log4j pour installer des balises Conalt Strike, signalée par le Microsoft Threat Intelligence Center.
Cpbalt Strike est une véritable boîte à outils de test d’infiltration où des balises ou des agents sont déposés par des red teamers sur des appareils infectés pour exécuter d’autres commandes ou effectuer une surveillance réseau à distance.
Numérisation et divulgation d’informations
En plus d’utiliser la vulnérabilité Log4Shell pour déployer des logiciels malveillants, l’exploit est également utilisé par les cyber-escrocs et les chercheurs en sécurité pour rechercher les serveurs vulnérables et en exfiltrer les données.
Certains chercheurs peuvent également utiliser la faille pour exfiltrer des variables d’environnement qui incluent des données sans consentement, y compris le nom d’utilisateur sous lequel le service Log4j s’exécute, le nom de l’hôte, le nom du système d’exploitation et le numéro de version du système d’exploitation.
Bien qu’il n’y ait eu aucune preuve que l’exploit Log4j soit utilisé par des gangs de ransomware ou d’autres acteurs de la menace, le fait que ces attaques arrivent étant donné que les balises Cobalt Strike ont été installées.
Pour cette raison, il est essentiel que tous les utilisateurs installent la dernière version de Log4j ou des applications concernées pour corriger cette exposition le plus tôt possible.