Yaygın olarak kullanılan log4j yazılımındaki log4shell güvenlik açıkları, bugün DDOS Botnets'e ve kriptominerleri dikerken, çeşitli kötü amaçlı yazılım yüklerini dağıtmak için bugün çeşitli kötü amaçlı yazılım yükleri dağıtmak için hala tehdit aktörlerinden yararlanılıyor.
Barracuda'nın bir raporuna göre, son birkaç ay, log4shell'in hedeflenmesinde dipler ve sivri ile karakterize edildi, ancak sömürü girişimlerinin hacmi nispeten sabit kaldı.
Bu saldırıları analiz ettikten sonra Barracuda, çoğu sömürü girişiminin ABD tabanlı IP adreslerinden, ardından Japonya, Orta Avrupa ve Rusya'dan geldiğini belirledi.
Aralık 2021'de, araştırmacılar Log4J sürüm 2.14.1'i ve CVE-2021-44228'e karşı savunmasız olan tüm önceki sürümleri, kritik bir sıfır gün uzaktan kod yürütme kusurunu "log4shell" d kullandı.
Log4J'nin geliştiricisi olan Apache, 2.15.0 sürümünü serbest bırakarak sorunu çözmeye çalıştı. Bununla birlikte, sonraki güvenlik açığı keşifleri ve güvenlik boşlukları, sürüm 2.17.1 sürümüne nihayet tüm sorunları çözdüğü zaman yıl sonuna kadar yamalama yarışını genişletti.
Bununla birlikte, Barracuda'ya göre, birçok sistem popüler günlüğe kaydetme çerçevesinin eski sürümlerini çalıştırmaya devam ediyor ve bu nedenle sömürüye karşı savunmasızdır.
Barracuda araştırmacıları, savunmasız JOG4J dağıtımlarını hedef alan çeşitli yükler gördüler, ancak Mirai Botnet türevleri bu anda aslanın payını alıyor gibi görünüyor.
Mirai kötü amaçlı yazılım, halka açık ağ kameralarını, yönlendiricileri ve diğer aygıtları hedef alır ve onları uzaktan kontrol edilen botların bir botnetine dönüştürür. Tehdit oyuncusu daha sonra bu botnet'i belirli bir hedefe karşı, kaynaklarını tüketerek ve çevrimiçi hizmetlerini bozarak kontrol edebilir.
Barracuda'nın raporu açıklarken, Mirai, operatörlerin gelecekte her büyüklükteki mağdurları hedefleyen büyük bir botnet oluşturmaya çalıştığını gösteren, Mirai çeşitli biçimlerde ve farklı kaynaklardan dağıtılır.
Bu operasyonların arkasındaki tehdit aktörleri ya botnet ateş gücünü başkalarına kiralıyor ya da DDO'lar saldırılarını şirketleri zorlamak için başlatıyor.
Son log4j sömürüsü tarafından düşülen diğer yükler şunları içerir:
Barracuda'nın analistleri, halka açık VMware kurulumlarını sömüren fidyeware çetelerini görmediklerini ve daha önce tehlikeye giren ağlar için içeriden bir tehdit olarak kullanıldığına inanıyorlar.
Örneğin, Conti Ransomware, LOG4J kullandığı log4j kullandı.
Bu tür saldırılara karşı korumanın en basit yolu, LOG4J'ü 2.17.1 veya daha sonra sürümüne güncellemek ve tüm web uygulamalarınızı genel olarak güncel tutmaktır.
Mirai tarafından hedeflenen cihazların çoğu bireysel paketleri güncellemenize izin vermeyeceğinden, log4j düzeltmelerini içeren güncellenmiş ürün yazılımını kontrol etmeniz ve varsa bunları uygulaymanız gerekir.
Barracuda, sürekli bir log4shell saldırısı hacmini görürken, Sophos'un son zamanlarda bir düşüş olduğunu bildirdi. Ancak, tüm analistler tehdidin kaldığını kabul eder.
Tehdit aktörlerinin çoğunluğunun ilgisi yok olsa bile, bazıları, sayıları dikkatli kaldığından savunmasız log4j dağıtımlarını hedeflemeye devam edecektir.
Ransomware saldırıları için kazançlı olan değerli organizasyonlar güvenlik güncellemelerini uyguladı, ancak kriptominin ve DDOS saldırıları amacıyla, eski sürümleri çalıştıran ihmal edilmiş sistemler mükemmel hedeflerdir.
İran hackerları, log4j istismarıyla VMware Horizon Sunucularını hedefleyin
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
VMware: Patch Horizon Sunucuları Devam Eden Log4J Saldırılarına Karşı!
Linux Malware 2021'de% 35 büyüme görüyor
Gece Sky Ransomware, VMware Horizon Sunucularını kesmek için log4j böcek kullanır
Kaynak: Bleeping Computer