به گزارش کارگروه امنیت سایبربان؛ بازیگران مخرب و محققین با هدف استفاده از بدافزار یا یافتن سرورهای آسیب پذیر، در حال اسکن و بهره برداری از آسیب پذیری Log4j Log4Shell هستند.
اوایل صبح جمعه کد مخربی به نام Log4Shell برای یک آسیب پذیری در پلتفرم لاگینگ مبتنی بر جاوا آپاچی Log4j منتشر شد. آسیب پذیری نام برده این امکان را به مهاجمین می دهد تا با جستجو یا تغییرعامل کاربر مرورگر به یک رشته مخصوص، فرمانی را از راه دور بر روی سرور آسیب پذیر اجرا کنند.
آپاچی پس از مدت کوتاهی برای حل این مشکل، اقدام به انتشار Log4j 2.15.0 کرد اما بازیگران مخرب پیش از این ها، با هدف انتقال غیر مجاز داده، نصب بدافزار و به دست گرفتن سرور، شروع به اسکن و بهره برداری از سرورهای آسیب پذیر کرده بودند.
از آن جایی که این نرم افزار در هزاران وبسایت و اپلیکیشن تجاری مورد استفاده قرار دارد، انجام حملات گسترده و استفاده از بدافزار امری محتمل خواهد بود.
بازیگران مخرب به محض انتشار این آسیب پذیری، از آن ها بهره برداری کردند تا بتوانند شل اسکریپت هایی را دانلود کنند که ماینرهای رمز ارز متنوعی را نصب می کنند.
عاملین درپشتی Kinsing و بات نت استخراج کننده رمز ارز به صورت فعالی در حال سوءاستفاده از آسیب پذیری Log4j هستند.
طبق گزارش Netlab 360 بازیگران مخرب با هدف نصب بدافزار Mirai و Muhstik بر روی دستگاه های آسیب پذیر، از این آسیب پذیری بهره برداری می کنند.
این خانواده های بدافزاری با بکارگیری دستگاه های اینترنت اشیاء و سرورها در بات نت هایشان، اقدام به اجرای حملات منع سرویس بزرگ می کنند.
مرکز هوش تهدید مایکروسافت نیز اعلام کرد آسیب پذیری های Log4j در جهت رها سازی بیکن های کوبالت استرایک مورد بهره برداری قرار گرفته اند.
بازیگران مخرب و محققین امنیتی با کد مخرب اقدام به نصب بدافزار، استفاده از کد مخرب و انتقال غیر مجاز اطلاعات می کنند.
متداول ترین دامین ها یا آدرس های IP که در این کمپین مورد استفاده قرار گرفتند، عبارتند از:
- interactsh.com
- burpcollaborator.net
- dnslog.cn
- bin${upper:a}ryedge.io
- leakix.net
- bingsearchlib.com
- 205.185.115.217:47324
- bingsearchlib.com:39356
- canarytokens.com
به همه کاربران توصیه می شود تا آخرین نسخه Log4j را هر چه سریع تر نصب و این مشکلات را برطرف کنند.
