Log4j Log4Shellの露出は、サイバー犯罪者や研究者によってスキャンされ、利用されています。
JavaベースのApacheLog4jロギングプラットフォームでは、金曜日の早朝に「Log4Sheel」という名前の機密性の高いゼロデイ欠陥のエクスプロイトが公開されました。この脆弱性を使用して、脅威の攻撃者は脆弱なサーバー上でコマンドをリモートで実行します。これは、ブラウザでユーザーエージェントを検索するか、特別な文字列に変更するだけで実行されていました。
露出を修正するために、Log4j2.15.0がApacheによってリリースされました。それにもかかわらず、マルウェアを展開したり、データを盗み出したり、サーバーを乗っ取ったりするために、脆弱なサーバーは攻撃者によるスキャンと悪用をすでに開始していました。
セキュリティの専門家は、多数のWebサイトやエンタープライズアプリがこのソフトウェアを使用しているため、攻撃やマルウェアのインストールが広範囲に及ぶことを懸念しています。
犯罪者はLog4Shellを使用してマルウェアを展開します
Table of Contents
マルウェアの配布者は、簡単に悪用可能なリモートコード実行の欠陥が明らかになるたびに、この脆弱性を利用し始めます。
暗号マイナー
脆弱性が公開されると、Log4Shellの欠陥がサイバー犯罪者によって悪用され、複数のクリプトマイナーのダウンロードとインストールにつながるシェルスクリプトが実行されるのが見られました。
Kinsingバックドアと暗号化ボットネットの背後にいる詐欺師は、公開されたサーバーがシェルスクリプトをダウンロードして実行するBase64暗号化ペイロードでLog4jの脆弱性を大幅に利用しています。
MiraiおよびMuhstikボットネット
報告によると、この欠陥はサイバー犯罪者によって悪用され、脆弱なシステムにMiraiおよびMuhstikマルウェアを配備しました。
Netlab 360の研究者は、次のように述べています。 、両方ともLinuxデバイスを対象としています。」
コバルトストライクビーコン
サイバークリメインは、Log4jの脆弱性を利用して、Microsoft Threat IntelligenceCenterによって報告されたConaltStrikeビーコンをインストールしています。
Cpbalt Strikeは、ビーコンまたはエージェントが感染したデバイス上の赤いチームメンバーによってドロップされ、さらにコマンドを実行したり、リモートネットワーク監視を実行したりする本物の侵入テストツールキットです。
スキャンと情報開示
Log4Shellの脆弱性を使用してマルウェアを展開するだけでなく、サイバー犯罪者やセキュリティ研究者は、脆弱なサーバーをスキャンしてデータを盗み出すためにこのエクスプロイトを利用しています。
一部の研究者は、この欠陥を利用して、Log4jサービスが実行されているユーザー名、ホスト名、オペレーティングシステム名、OSバージョン番号など、同意なしにデータを含む環境変数を盗み出すこともあります。
Log4jエクスプロイトがランサムウェアギャングやその他の脅威アクターによって使用されているという証拠はありませんが、Cobalt Strikeビーコンがインストールされていることを考えると、これらの攻撃が発生しているという事実があります。
このため、すべてのユーザーが最新バージョンのLog4jまたは影響を受けるアプリをインストールして、この露出をできるだけ早く修正することが重要です。