Угроза Log4j усиливается, поскольку Microsoft предупреждает о нескольких хакерах, спонсируемых государством, на тропе войны

герой разведка угроз Майкрософт
Если вы еще не относились серьезно к уязвимости Log4shell в Apache Log4J, вот еще одна причина сделать это: злоумышленники, связанные с распространителями вредоносных программ, поставщиками программ -вымогателей как услуги и даже государствами, активно используют эту уязвимость. Плохие парни массово сканируют Интернет в поисках неисправленных систем, и если вы используете сервер с неисправленным Log4j, они, скорее всего, найдут его раньше, чем позже.
Эта часть информации поступила прямо от Microsoft, которая вчера обновила свое руководство по уязвимости. Статья, первоначально опубликованная в субботу, когда уязвимость стала популярной, вчера была обновлена, чтобы включить информацию об активных, текущих угрозах, которые пытаются использовать уязвимость, а также некоторые дополнительные рекомендации, которые помогут защититься от этих конкретных угроз.

Microsoft называет Китай, Иран, Северную Корею и Турцию национальными государствами, использующими дыру в безопасности, хотя американская компания осторожно объясняет, что деятельность этих стран варьируется от «экспериментов во время разработки» до «использования против целей для достижения целей». цели актера». Другими словами, некоторые из этих стран могут просто исследовать уязвимость в рамках тестирования безопасности, другие интегрируют уязвимость в свои существующие наборы хакерских инструментов, а третьи активно пытаются использовать ее прямо сейчас.

Центр Microsoft Threat Intelligence Center (MSTIC) более конкретно отмечает , что он наблюдал за иранской группой PHOSPHOROUS, известной развертыванием программ-вымогателей, «приобретением и созданием модификаций» эксплойта, в то время как китайский злоумышленник HAFNIUM использовал уязвимость для «атаки на инфраструктуру виртуализации». .» Microsoft заявляет, что операторы HAFNIUM используют «службу DNS, обычно связанную с тестированием» для систем отпечатков пальцев.
Логотип Apache Log4j

Далее компания упоминает, что существующие вредоносные кампании и ботнеты уже активно используют эксплойт. Mirai, один из крупнейших существующих ботнетов, по-видимому, был модернизирован с возможностью устранения этой уязвимости. Точно так же люди, которые нацеливались на Elasticsearch, перешли на Log4shell для развертывания вредоносного ПО для криптомайнинга. Дом, который построили Билл и Пол, говорит о возрождении бэкдора Tsunami для Linux. Log4j — это Java-приложение, а Java, в конце концов, мультиплатформенная. Атаки можно настроить с помощью команд Base64 в запросе на одновременное нацеливание на сценарии оболочки в Linux и команды Powershell в Windows.

Что касается предотвращения, Microsoft, естественно, рекомендует своим клиентам использовать свои инструменты безопасности, в частности антивирусную программу Microsoft Defender и средство защиты от вредоносных программ. Люди, использующие Microsoft Defender для конечной точки, могут включить определенное правило — «блокировать запуск исполняемых файлов, если они не соответствуют критерию распространенности, возраста или списка доверенных лиц», — чтобы помочь смягчить последствия уязвимости.

Однако, поскольку этот недостаток настолько серьезен и широко распространен, Microsoft фактически рекомендует большинству своих клиентов искать признаки того, что они уже были использованы, «вместо того, чтобы полностью полагаться на предотвращение». Старая поговорка гласит, что унция профилактики стоит фунта лечения, но в этом случае, как и в случае с недавней пандемией, профилактика почти невозможна, поэтому лучше перейти к следующему шагу. Руководство Microsoft в своем блоге.

Источник (англ.)

Поставить оценку
Кофебрейкер | Интернет-журнал