Log4Shell güvenlik açığı, savunmasız VMware Horizon sunucularına arka kapılar ve kripto para birimi madencileri sağlamak için hala kullanılıyor.
Salı günü, Sophos siber güvenlik araştırmacıları saldırıları söyledi Ocak ayı ortalarında tespit edilmiş ve halen devam etmektedir. Yalnızca arka kapılar ve kripto para madencileri konuşlandırılmaz, ayrıca cihaz bilgilerini toplamak ve çalmak için komut dosyaları kullanılır.
Log4Shell, Apache Log4J Java günlük kitaplığındaki kritik bir güvenlik açığıdır. Kimliği Doğrulanmamış Uzaktan Kod Yürütme (RCE) güvenlik açığı Aralık 2021’de herkese açık hale getirildi ve 10.0 CVSS puanıyla CVE-2021-44228 olarak listelendi.
Güvenlik açığı bulunan sunuculara erişim kazanın
Araştırmacılar, özellikle böceğin kullanım kolaylığı göz önüne alındığında, Log4Shell’in muhtemelen yıllarca sürebileceği konusunda uyardılar.
Microsoft daha önce devlet destekli siber suçlular tarafından gerçekleştirilen Log4Shell saldırılarını tespit etmişti, ancak çoğu kripto para madenciliği, fidye yazılımı ve bot etkinliğine odaklanıyor gibi görünüyor. Aralık 2021’de bir yama yayınlandı, ancak çoğu zaman internete bakan sunucularda olduğu gibi, birçok sistem güncellenmedi.
Sophos’a göre, en son Log4Shell saldırıları hedef VMware Horizon sunucuları üç farklı arka kapı ve dört kripto para madencisiyle yamasız.
Bu kampanyanın arkasındaki saldırganlar, güvenlik açığı bulunan sunuculara erişmek için hatadan yararlanıyor. Sisteme bir kez sızdıktan sonra, iki meşru uzaktan izleme yazılımı olan Atera Agent veya Splashtop Streamer kurulabilir ve amaçları arka kapı gözetleme araçları haline getirilmek üzere kaçırılır.
Sophos tarafından tespit edilen diğer arka kapı, kalem test cihazları ve kırmızı ekipler tarafından kullanılmak üzere piyasaya sürülen açık kaynaklı bir saldırgan güvenlik implantı olan Silver.
Sophos, dört madencinin bu saldırı dalgasıyla bağlantılı olduğunu söylüyor: Monero (XMR) madenciliği yapan z0Miner, JavaX madenci, Jin ve Mimu. Önceden, Trend Mikro z0Miner operatörlerinin, kripto hırsızlığı saldırıları için Atlassian Confluence’ın RCE’sini (CVE-2021-26084) kullandığını keşfetti.
Bu iki kampanyaya bağlı bir PowerShell URL’si, belirsizliğini korusa da, bir bağlantı olabileceğini de gösteriyor.
“Z0Miner, JavaX ve diğer yükler doğrudan ilk uzlaşma için kullanılan web kabukları tarafından indirilirken, Jin botları Sliver kullanımına bağlıydı ve Mimo ile aynı cüzdanları kullanıyordu, bu da bu üç kötü amaçlı yazılımın aynı aktör tarafından kullanıldığını gösteriyor. “dedi araştırmacılar.
Ek olarak, araştırmacılar, cihazlar ve yedeklemeler hakkında bilgi toplamak için tasarlanmış bir ters kabuğun konuşlandırılmasının kanıtlarını ortaya çıkardı.
Sophos kıdemli güvenlik araştırmacısı Sean Gallagher, “Log4J yüzlerce yazılıma kuruludur ve birçok şirket, özellikle ticari, açık kaynaklı veya düzenli olarak güvenlik desteği almayan özel yazılımlarda, altyapılarında gizlenen güvenlik açığından habersiz olabilir” dedi. “Yamalar gerekli olsa da, saldırganlar ağa bir web kabuğu veya arka kapı kurabilmişse, bunlar yeterli olmayacaktır.”
Kaynak: “ZDNet.com”