虽然概念验证代码是在上周四发布的,但有证据表明黑客在两周前已经利用Log4Shell漏洞发起了攻击。根据Cloudflare和CiscoTalos的数据,第一次攻击发生在12月1日和12月2日。虽然周末开始大规模攻击,但这一启示意味着安全团队需要扩大他们的事件响应调查,出于安全原因将他们的网络锁定在11月初。目前,滥用Log4Shell漏洞的攻击仍然很温和——如果这个词甚至可以用来描述滥用安全漏洞的话。大量攻击来自专业的加密挖矿和DDoS僵尸网络,例如Mirai、Muhstik和Kinsing,它们通常先于其他人利用任何有意义的企业漏洞。但在周末的一篇博客文章中,微软表示它开始观察到Log4Shell的第一个实例被用于部署webshell和CobaltStrike信标(后门)。CISA、NSA和一些网络安全公司在过去一年中多次警告说,webshell和CobaltStrike信标的组合通常是民族国家组织和勒索软件团伙在攻击中部署的第一个工具。在一天结束之前,我们得到了第一个滥用Log4Shell的勒索软件组。对易受Log4Shell漏洞影响的互联网连接系统的扫描现在肯定是火爆的。安全公司KryptosLogic周日表示,它检测到超过10,000个不同的IP地址正在探测互联网,是周五探测Log4Shell的系统数量的100倍。并非所有这些流量都是坏的,因为有白帽安全研究人员和安全公司在寻找易受攻击的系统,但总体情况是威胁参与者已经闻到血腥味,IT管理员应该查看他们基于Java的系统是否容易受到攻击Log4Shell攻击。
