Jump to content

Преступники эксплуатируют Log4Shell для установки банковского трояна Dridex


security147

Recommended Posts

Преступники эксплуатируют Log4Shell для установки банковского трояна Dridex

08:10 / 21 Декабря, 2021 2021-12-21T09:10:58+03:00

Alexander Antipov

Хакеры используют вариант эксплоита Log4j RMI, загружая и выполняя класс Java с удаленного сервера.

https://www.securitylab.ru/upload/iblock/229/229896cb529ce96175312f7a076530dc.png

Киберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.

По словам исследователей в области кибербезопасности из Cryptolaemus, уязвимость Log4Shell теперь эксплуатируется с целью заражения устройств под управлением Windows трояном Dridex и устройств под управлением Linux с помощью оболочки Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.

После запуска класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если класс Java не может выполнить команды Windows, значит устройство работает под управлением Linux/Unix, и в таком случае начнется загрузка и выполнение Python-скрипта для установки Meterpreter.

Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, позволяющую устанавливать дополнительные полезные нагрузки, перемещаться по сети жертвы, похищать данные или выполнять команды.

На устройствах под управлением Windows класс Java загружает HTA-файл, открывает его и создает файл VBS в папке C:\ProgramData. VBS-файл выполняет роль основного загрузчика для Dridex и ранее уже использовался в других кампаниях по распространению вредоноса.

Как предупредили эксперты, другие операторы вредоносов вскоре также начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется просканировать свои сети на предмет уязвимых приложений, использующих Log4j, и обновить их до последних версий.


В нашем телеграм канале мы рассказываем о главных новостях из мира IT, актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру. Узнай первым как выжить в цифровом кошмаре!

Adblock test (Why?)

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...