Преступники эксплуатируют Log4Shell для установки банковского трояна Dridex

Вт 21 Декабрь 2021 06:14

Киберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.

По словам исследователей в области кибербезопасности из Cryptolaemus, уязвимость Log4Shell теперь эксплуатируется с целью заражения устройств под управлением Windows трояном Dridex и устройств под управлением Linux с помощью оболочки Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.

После запуска класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если класс Java не может выполнить команды Windows, значит устройство работает под управлением Linux/Unix, и в таком случае начнется загрузка и выполнение Python-скрипта для установки Meterpreter.

Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, позволяющую устанавливать дополнительные полезные нагрузки, перемещаться по сети жертвы, похищать данные или выполнять команды.

На устройствах под управлением Windows класс Java загружает HTA-файл, открывает его и создает файл VBS в папке C:\ProgramData. VBS-файл выполняет роль основного загрузчика для Dridex и ранее уже использовался в других кампаниях по распространению вредоноса.

Как предупредили эксперты, другие операторы вредоносов вскоре также начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется просканировать свои сети на предмет уязвимых приложений, использующих Log4j, и обновить их до последних версий.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 15 лет 308 дней 13 часов 37 минут 56 секунд
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.