Tin tặc đang khai thác lỗ hổng Log4Shell trên diện rộng

Các tác nhân đe dọa đang rà quét và khai thác lỗ hổng Log4j Log4Shell để tìm kiếm các máy chủ bị ảnh hưởng và triển khai mã độc lên chúng.

Sáng thứ Sáu, mã khai thác cho một lỗ hổng zero-day nghiêm trọng có tên là 'Log4Shell' trong Java Apache Log4j đã được tiết lộ công khai. Lỗ hổng cho phép đối tượng tấn công thực thi lệnh (command) từ xa trên máy chủ dễ bị tấn công.

Ngay sau đó, Apache đã phát hành Log4j 2.15.0 để khắc phục lỗ hổng, nhưng tin tặc đã bắt đầu tìm kiếm và khai thác các máy chủ dễ bị tấn công để lấy cắp dữ liệu, cài đặt phần mềm độc hại hoặc chiếm quyền kiểm soát máy chủ.

Phần mềm Log4j đang được sử dụng trong hàng nghìn ứng dụng và trang web của doanh nghiệp, điều này có thể dẫn đến hàng loạt các cuộc tấn công và triển khai mã độc trên diện rộng.

Các cuộc tấn công khai thác lỗ hổng Log4j

Log4Shell được sử dụng để cài đặt phần mềm độc hại.

Cryptominers

Ngay sau khi lỗ hổng được công khai, BleepingComputer đã phát hiện các tác nhân đe dọa khai thác lỗ hổng Log4Shell để tải xuống và cài đặt các công cụ mã hóa, khai thác tiền điện tử khác nhau.

Những kẻ đứng sau backdoor Kinsing và mạng botnet cryptomining đang lạm dụng lỗ hổng Log4j để tải xuống và thực thi các tập lệnh độc hại trên các máy chủ dễ bị tấn công.

Tập lệnh shell này sẽ xóa phần mềm độc hại khác khỏi thiết bị, sau đó tải xuống và cài đặt mã độc Kinsing dùng để khai thác tiền điện tử.

Mạng botnet Mirai và Muhstik

Netlab 360 cho biết tin tặc đang khai thác lỗ hổng để cài đặt mã độc Mirai và Muhstik trên các thiết bị có chứa lỗ hổng.

Các đối tượng khai thác mã độc này sử dụng các thiết bị và máy chủ IoT cho mạng botnet của chúng để triển khai các công cụ mã hóa và thực hiện các cuộc tấn công DDoS.

Quét, thu thập thông tin

Các tác nhân đe dọa/các nhà nghiên cứu bảo mật đang quét, tìm kiếm các máy chủ dễ bị tấn công để thu thập thông tin trên các hệ thống bị ảnh hưởng, bao gồm tên máy chủ lưu trữ, tên người dùng của dịch vụ Log4j, thông tin hệ điều hành,... Những thông tin này có thể được tin tặc sử dụng cho các cuộc tấn công trong tương lai.

Các tên miền/IP phổ biến được sử dụng để quét/thu thập dữ liệu:

interactsh.com

burpcollaborator.net

dnslog.cn

bin${upper:a}ryedge.io

leakix.net

bingsearchlib.com

205.185.115.217:47324

bingsearchlib.com:39356

canarytokens.com

Trong đó bingsearchlib.com đang được sử dụng nhiều trong các khai thác Log4j vẫn chưa được đăng ký tên miền.

Một nhà nghiên cứu bảo mật cho biết đã đăng ký tên miền để ngăn chặn các tác nhân đe dọa lạm dụng nó.

Công ty tình báo mối đe dọa GreyNoise cho biết các địa chỉ IP sử dụng bingsearchlib.com để khai thác cũng thường sử dụng 205.185.115.217:47324.

BleepingComputer đã phát hiện các cuộc tấn công gửi request lặp đi lặp lại từ domain psc4fuel.com (mạo danh tên miền hợp pháp của một công ty dịch vụ dầu khí) để khai thác các trang web.

Hiện chưa có phát hiện nào về việc các nhóm ransomware hoặc các tác nhân đe dọa khác sử dụng khai thác Log4.

Để tránh nguy cơ bị khai thác tấn công, người dùng nên kiểm tra và cài đặt phiên bản mới nhất của Log4j hoặc các ứng dụng bị ảnh hưởng ngay khi có thể.

Nguồn: bleepingcomputer.com.