社区编辑申请
注册/登录
新的勒索软件正被部署在 Log4Shell 攻击中
安全 漏洞
上周五,基于Java日志平台的 "Log4Shell "漏洞公开利用程序被发布。Log4j是一个开发框架,允许开发人员在他们的Java应用程序中添加错误及事件日志。

据 bleepingcomputer 消息,上周五,基于Java日志平台的 "Log4Shell "漏洞公开利用程序被发布。Log4j是一个开发框架,允许开发人员在他们的Java应用程序中添加错误及事件日志。

该漏洞允许威胁者创建特殊的 JNDI 字符串,当 Log4j 读取这些字符串时,会导致平台连接到 URL 并在其中执行代码。这使得攻击者可以很容易地检测到易受攻击的设备,继而执行由远程站点或通过Base64 编码字符串提供的代码。

虽然这个漏洞在Log4j 2.15.0版本中得到修复,甚至在Log4j 2.16.0中进一步收紧,但它正被威胁者广泛利用来安装各种恶意软件,包括比特币矿工、僵尸网络,Cobalt Strike信标等。

首次利用Log4j安装勒索软件

12月13日,BitDefender报告称,他们发现首个勒索软件家族是通过 Log4Shell 漏洞直接安装的。

该漏洞利用程序从hxxp://3.145.115[.]94/Main.class 下载一个 Java 类,由 Log4j 应用程序加载和执行。一旦加载,它将从同一服务器下载一个.NET二进制文件,以安装新的勒索软件“Khonsari”。这个名字也被用作加密文件的扩展名和勒索信,如下所示。

Khonsari 赎金票据(来源:BleepingComputer)

在后来的攻击中,BitDefender 注意到,该威胁攻击者使用相同的服务器来分发 Orcus 远程访问木马。

可能是一个“擦边球”

勒索软件专家 Michael Gillespie 分析称,Khonsari 使用了有效的加密并且是安全的,这意味着不可能免费恢复文件。然而,奇怪的是,赎金票据并未署明向谁支付赎金。

Emsisoft 分析师Brett Callow指出,该勒索软件是以路易斯安那州一家古董店老板的名字命名的,并使用了该老板的联系信息,而不是威胁者。因此,尚不清楚此人是勒索软件攻击的实际受害者还是被列为的“诱饵”。

不管是什么原因,由于它不包含威胁者的具体联系方式,我们认为这是一个“擦边球”而不是勒索软件。

但是,基于微软已经观察到用于部署 Cobalt Strike 信标的漏洞,因此,更高级的勒索软件操作可能已经在使用该漏洞作为其攻击的一部分。

参考来源:

https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/

 

责任编辑:赵宁宁 来源: FreeBuf
相关推荐

2022-06-15 11:02:40

网络安全运营

2022-06-28 10:58:35

勒索软件攻击事件

2022-06-15 08:21:49

Linux运维工程师

2022-06-28 05:35:46

勒索软件网络安全网络攻击

2022-05-26 11:06:33

加密勒索软件网络攻击

2022-06-16 15:42:16

攻击面管理ASM

2022-06-14 23:34:10

Linux安全服务器

2022-06-28 12:35:21

DockerPython

2022-06-20 13:34:46

漏洞网络攻击

2022-06-29 14:46:00

网络攻击数据泄露勒索软件

2022-06-30 11:03:27

DDoS攻击WAF

2022-06-01 17:47:24

运维监控系统

2022-06-21 09:26:21

Shell脚本JavaScript

2022-05-13 23:33:01

勒索软件漏洞对象存储

2022-06-29 08:13:36

漏洞网络攻击网络安全

2022-06-16 16:12:57

网络资产攻击面管理CAASM

2022-06-22 09:19:55

HDC鸿蒙ADB命令

2022-06-30 10:22:26

K8s可观测Prometheus

2022-06-23 11:42:22

MySQL数据库

2022-06-24 11:14:00

美团开源

同话题下的热门内容

Black Lotus警告异常复杂的ZuoRAT恶意软件已盯上大量路由器高危漏洞并不意味着要最先修复

编辑推荐

Log4j史诗级漏洞,从原理到实战,只用3个实例就搞明白!漏洞情报 | Spring RCE 0day高危漏洞预警Kubernetes的严重漏洞将所有服务器暴露在DoS攻击面前!Tomcat爆出安全漏洞!Spring Cloud/Boot框架多个版本受影响二维码新漏洞出现,遇到此类二维码小心中招
我收藏的内容
点赞
收藏

51CTO技术栈公众号