Log4Shell ถูกใช้ในการติดมัลแวร์

ช่องโหว่ Log4Shell ถูกใช้เป็นพาหะการติดเชื้อเริ่มต้นใน 31% ของกรณีที่ Lacework ตรวจสอบในช่วงหกเดือนที่ผ่านมา

รายงานภัยคุกคาม Lacework Cloud Threat ล่าสุดของผู้จำหน่ายซอฟต์แวร์เน้นย้ำถึงความเสี่ยงที่มีอยู่ในปัจจุบัน การค้นพบนี้ยืนยันว่าบั๊ก Log4j ถูกใช้อย่างกว้างขวางโดยผู้คุกคาม เนื่องจากผู้เชี่ยวชาญด้านความปลอดภัยสงสัยว่ามันเกิดขึ้นเมื่อเดือนธันวาคมปีที่แล้ว

Lacework Labs กล่าวว่าในขณะที่เริ่มสังเกตเห็นคำขอจำนวนมากที่มีการใช้ประโยชน์จาก payloads ไม่นานหลังจากการเปิดเผย Log4Shell สิ่งเหล่านี้เป็นผลมาจากนักวิจัยส่วนใหญ่ที่ค้นหาช่องโหว่ อย่างไรก็ตาม คำขอเหล่านี้ถูกแทนที่ด้วยคำขอที่เป็นอันตรายเมื่อเวลาผ่านไป เนื่องจากผู้คุกคามได้นำเอาช่องโหว่การพิสูจน์แนวคิดที่เผยแพร่สู่สาธารณะมาใช้

“เมื่อเวลาผ่านไป เราเฝ้าดูกิจกรรมการสแกนพัฒนาไปสู่การโจมตีบ่อยครั้งมากขึ้น รวมถึงบางตัวที่ใช้ crypto-miners และบ็อต Distributed Denial of Service (DDoS) กับระบบที่ได้รับผลกระทบ”

“นอกเหนือจากการปรับปรุงเพย์โหลดของพวกเขาแล้ว ฝ่ายตรงข้ามยังคงปรับวิธีการแสวงหาผลประโยชน์ของตนให้อยู่เหนือการตรวจจับตามลายเซ็นที่ใช้โดยผลิตภัณฑ์ความปลอดภัยหลายประเภท”

Log4j ไม่ใช่ซอฟต์แวร์ที่พึ่งพาอาศัยเพียงอย่างเดียวในช่วงปลายปี 2021 ผู้คุกคามจำนวนมากใช้แบ็คดอร์ในแพ็คเกจ NPM ua-parser-js เพื่อเปิดระบบ Linux เพื่อรับและเรียกใช้ XMRig ตัวขุดคริปโตเคอเรนซีโอเพ่นซอร์ส ผู้โจมตีดั้งเดิมสามารถประนีประนอมบัญชีของนักพัฒนา NPM เพื่อส่งการอัปเดตที่เป็นอันตรายไปยังแพ็คเกจ

อันที่จริง ผู้คุกคามชอบ NPM เป็นพาหะสำหรับการโจมตีมากขึ้น รายงานจาก Checkmarx ในสัปดาห์นี้อ้างว่าผู้โจมตีได้ปรับปรุงกระบวนการสร้างบัญชี NPM ใหม่เพื่อแจกจ่ายมัลแวร์ในห่วงโซ่อุปทาน

“ผู้โจมตีได้ทำให้กระบวนการสร้างบัญชี NPM เป็นไปโดยอัตโนมัติอย่างสมบูรณ์ และมีบัญชีเฉพาะแบบเปิด หนึ่งบัญชีต่อแพ็คเกจ ทำให้ตรวจจับแพ็คเกจที่เป็นอันตรายใหม่ได้ยากขึ้นมาก” มันอธิบาย

“ในขณะที่เขียน ตัวคุกคาม ‘RED-LILI’ ยังคงทำงานอยู่ในขณะที่เขียนและยังคงเผยแพร่แพ็คเกจที่เป็นอันตรายต่อไป”

https://www.infosecurity-magazine.com/news/log4shell-used-in-a-third-of/