据bleepingcomputer称,上周五发布了基于Java日志平台的“Log4Shell”漏洞的公开利用。Log4j是一个开发框架,允许开发人员向他们的Java应用程序添加错误和事件日志记录。该漏洞允许威胁参与者创建特殊的JNDI字符串,当Log4j读取这些字符串时,会导致平台连接到URL并在那里执行代码。这允许攻击者轻松检测易受攻击的设备并执行远程站点或通过Base64编码字符串提供的代码。尽管此漏洞在Log4j2.15.0版本中得到修复,甚至在Log4j2.16.0中得到进一步加强,但它正被威胁行为者广泛利用来安装各种恶意软件,包括比特币矿工、僵尸网络、CobaltStrikeletterStandard等.第一个使用Log4j的勒索软件安装12月13日,BitDefender报告说他们发现了第一个直接通过Log4Shell漏洞安装的勒索软件系列。该漏洞利用从hxxp://3.145.115[.]94/Main.class下载一个Java类,由Log4j应用程序加载和执行。加载后,它将从同一服务器下载.NET二进制文件以安装新的勒索软件“Khonsari”。此名称还用作加密文件扩展名和赎金票据,如下所示。Khonsari赎金票据(来源:BleepingComputer)在后来的攻击中,BitDefender注意到威胁参与者使用相同的服务器来分发Orcus远程访问木马。可能是“擦边球”勒索软件专家MichaelGillespie分析说,Khonsari使用了有效的加密并且是安全的,这意味着不可能免费恢复文件。然而,奇怪的是,赎金票据上并没有签署赎金支付给谁。Emsisoft分析师BrettCallow指出,勒索软件是以路易斯安那州一家古董店老板的名字命名的,并使用了店主的联系信息,而不是威胁者。因此,尚不清楚此人是勒索软件攻击的实际受害者还是被列为“诱饵”。不管是什么原因,由于它不包含威胁行为者的具体联系方式,我们认为这是一个“侧面镜头”而不是勒索软件。但是,基于Microsoft在部署CobaltStrike信标时观察到的漏洞,更高级的勒索软件操作可能已经在使用该漏洞作为其攻击的一部分。参考来源:https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/
