新的勒索軟件正被部署在Log4Shell攻擊中

據(jù) bleepingcomputer 消息，上周五，基于Java日志平臺(tái)的 "Log4Shell "漏洞公開(kāi)利用程序被發(fā)布。Log4j是一個(gè)開(kāi)發(fā)框架，允許開(kāi)發(fā)人員在他們的Java應(yīng)用程序中添加錯(cuò)誤及事件日志。

該漏洞允許威脅者創(chuàng)建特殊的 JNDI 字符串，當(dāng) Log4j 讀取這些字符串時(shí)，會(huì)導(dǎo)致平臺(tái)連接到 URL 并在其中執(zhí)行代碼。這使得攻擊者可以很容易地檢測(cè)到易受攻擊的設(shè)備，繼而執(zhí)行由遠(yuǎn)程站點(diǎn)或通過(guò)Base64 編碼字符串提供的代碼。

雖然這個(gè)漏洞在Log4j 2.15.0版本中得到修復(fù)，甚至在Log4j 2.16.0中進(jìn)一步收緊，但它正被威脅者廣泛利用來(lái)安裝各種惡意軟件，包括比特幣礦工、僵尸網(wǎng)絡(luò)，Cobalt Strike信標(biāo)等。

首次利用Log4j安裝勒索軟件

12月13日，BitDefender報(bào)告稱，他們發(fā)現(xiàn)首個(gè)勒索軟件家族是通過(guò) Log4Shell 漏洞直接安裝的。

該漏洞利用程序從hxxp://3.145.115[.]94/Main.class 下載一個(gè) Java 類，由 Log4j 應(yīng)用程序加載和執(zhí)行。一旦加載，它將從同一服務(wù)器下載一個(gè).NET二進(jìn)制文件，以安裝新的勒索軟件“Khonsari”。這個(gè)名字也被用作加密文件的擴(kuò)展名和勒索信，如下所示。

Khonsari 贖金票據(jù)(來(lái)源：BleepingComputer)

在后來(lái)的攻擊中，BitDefender 注意到，該威脅攻擊者使用相同的服務(wù)器來(lái)分發(fā) Orcus 遠(yuǎn)程訪問(wèn)木馬。

可能是一個(gè)“擦邊球”

勒索軟件專家 Michael Gillespie 分析稱，Khonsari 使用了有效的加密并且是安全的，這意味著不可能免費(fèi)恢復(fù)文件。然而，奇怪的是，贖金票據(jù)并未署明向誰(shuí)支付贖金。

Emsisoft 分析師Brett Callow指出，該勒索軟件是以路易斯安那州一家古董店老板的名字命名的，并使用了該老板的聯(lián)系信息，而不是威脅者。因此，尚不清楚此人是勒索軟件攻擊的實(shí)際受害者還是被列為的“誘餌”。

不管是什么原因，由于它不包含威脅者的具體聯(lián)系方式，我們認(rèn)為這是一個(gè)“擦邊球”而不是勒索軟件。

但是，基于微軟已經(jīng)觀察到用于部署 Cobalt Strike 信標(biāo)的漏洞，因此，更高級(jí)的勒索軟件操作可能已經(jīng)在使用該漏洞作為其攻擊的一部分。

網(wǎng)站題目：新的勒索軟件正被部署在Log4Shell攻擊中
當(dāng)前鏈接：http://bm7419.com/news/201754.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供網(wǎng)站設(shè)計(jì)公司、ChatGPT、網(wǎng)站改版、Google、營(yíng)銷型網(wǎng)站建設(shè)、外貿(mào)建站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)