Jump to content

Вайпер Khonsari атакует серверы Minecraft через уязвимость Log4Shell


security147

Recommended Posts

https://www.securitylab.ru/upload/iblock/a38/a382fde44ec7ff5ac856724ff0251c63.jpg

Вайпер Khonsari атакует серверы Minecraft через уязвимость Log4Shell

Администраторам серверов Minecraft, не использующим хостинг Microsoft, рекомендуется срочно обновить их.

Компания Microsoft призвала администраторов серверов Minecraft, не использующих ее хостинг, в срочном порядке обновить их из-за атак вымогательского ПО Khonsari, эксплуатирующего критическую уязвимость Log4Shell.

Шведский производитель Minecraft, компания Mojang Studios, на прошлой неделе выпустила экстренное обновление безопасности, исправляющее уязвимость ( CVE-2021-44228 ) в популярной Java-библиотеке журналирования Apache Log4j (библиотека используется в клиенте Minecraft Java Edition и многопользовательских серверах).

Хотя изначально Microsoft не упоминала атаки на серверы Minecraft через Log4Shell, теперь она обновила свое руководство по устранению уязвимости, добавив информацию об атаках вымогательского ПО на серверы Minecraft, для которых Microsoft не предоставляет хостинг.

«В этих случаях злоумышленник отправляет на уязвимый сервер Minecraft вредоносное внутриигровое сообщение, эксплуатирующее CVE-2021-44228 для извлечения и выполнения полезной нагрузки атакующего как на сервере, так и в подключенных уязвимых клиентах. Мы зафиксировали эксплуатацию, приведшую к доставке Java класса File, представляющего собой вымогательское ПО Khonsari, которое затем выполнялось в контексте javaw.exe», – говорится в уведомлении Microsoft.

Специалисты Microsoft 365 Defender Threat Intelligence Team и Microsoft Threat Intelligence Center (MSTIC) также зафиксировали развертывание обратных оболочек на базе PowerShell во взломанных корпоративных сетях, где уязвимость в Log4j на серверах Minecraft была начальной точкой входа.

Хотя игра Minecraft – это не то, что ожидаешь увидеть на корпоративных конечных точках, злоумышленники, успешно скомпрометировавшие один из таких серверов, с помощью Mimikatz похищают учетные данные, вероятно для сохранения доступа ко взломанным системам для дальнейших действий.

Для обновления до исправленной версии геймерам, использующим официальный клиент Mojang, рекомендуется закрыть все запущенные игры и установки Minecraft Launcher и перезапустить Launcher, после чего патч установится автоматически.

Геймеры, использующие модифицированные клиенты Minecraft и сторонние лаунчеры, должны обратиться к их поставщикам и запросить обновление.

Отдельно стоит упомянуть об использующемся в атаках на серверы Minecraft вредоносном ПО Khonsari. ИБ-компания Bitdefender, которая первой обнаружила атаки Khonsari через уязвимость Log4Shell, назвала его вымогательским ПО. Однако, это определение может быть не совсем точным, поскольку после атаки записка с требованием выкупа и контактами для связи с вымогателями не появляется.

Более того, как отметил специалист Emsisoft Бретт Кэллоу (Brett Callow), вредонос назван в честь антикварного магазина в Луизиане и использует контакты его владельца, а не киберпреступников.

Отсутствие данных для уплаты выкупа позволяет классифицировать Khonsari как деструктивное вредоносное ПО типа вайпер, использующееся для выведения из строя серверов Minecraft с целью гриферства или троллинга.

Грифер – игрок, портящий другим игровой процесс без всякой пользы для себя и других игроков. Такое поведение (гриферство) включает в себя любые способы расстроить других игроков. Явление типично для online-игр и может проявляться в убийстве игровых персонажей, ограничении доступа к ресурсам в игре, троллинге в игровом чате и т.д.

мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на

, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...