Sophos发布攻击者如何利用Log4Shell漏洞，在未修补的VMware Horizon伺服器，植入後门和分析指令码的调查结果，这些手法将为日後持续存取和勒索软体攻击打下基础。

最新的技术文章《大量挖矿机器人和後门利用Log4J攻击VMware Horizon伺服器》，详细介绍被用於入侵伺服器和植入3个不同的後门和4个加密挖矿程式的工具和手法。这些後门可能是由初始存取代理（IAB）植入的。

Log4Shell是Java日志元件Apache Log4J中的一个远端程式码执行漏洞，被广为使用在数百个软体产品中。它於2021年12月被发现并进行修补。

Sophos资深安全研究员Sean Gallagher表示：「广为使用的应用程式，例如面对网际网路且需要手动更新的VMware Horizon，特别容易受到利用。Sophos侦测发现了一波从1月份开始锁定Horizon伺服器的攻击，这些攻击会向未经修补的伺服器植入一系列後门和加密挖矿程式，以及收集装备资讯的指令码。Sophos认为，部分後门可能是由初始存取代理植入的，因为他们想要持续从远端存取这些有价值的目标，然後将其出售给其他攻击者，例如勒索软体操作者。」

Sophos侦测到使用Log4Shell锁定易受攻击Horizon伺服器的装载，包括2个合法的远端监控和管理工具Atera代理程式和Splashtop Streamer，它们很可能被恶意用作後门；恶意的Sliver後门程式；加密挖矿程式z0Miner、JavaX挖矿程式、Jin和Mimu；几个会收集装置和备份资讯的PowerShell反向命令介面。

根据Sophos分析显示，Sliver有时会与Atera和PowerShell分析指令码一起被植入，用於递送XMrig Monero挖矿??尸网路的Jin和Mimu变种。

根据Sophos指出，攻击者正在使用几种不同的方法感染目标。虽然早期一些攻击使用Cobalt Strike来暂存和执行加密挖矿程式的装载，但从2022年1月中旬开始的最大一波攻击，则是直接从VMware Horizon伺服器的Apache Tomcat元件执行加密挖矿程式的安装程序指令码。这波攻击仍在持续中。

Gallagher表示：「Sophos的调查结果表明，多个攻击者正在进行这些攻击，因此最重要的保护步骤是使用已修补Log4J版本的软体升级所有的装置和应用程式。包括VMWare Horizon的已修补版本，如果组织有在网路中使用这个应用程式的话。Log4J被广为安装在数百个软体产品中，而且许多组织可能没有意识到这个潜伏在基础架构中的漏洞，尤其是商用、开放原始码或缺乏一般安全支援的自订软体。虽然修补很重要，但如果攻击者已经能够在网路中安装网页命令介面或後门，那麽这些保护还不够。进行深度防御，并在发现挖矿程式和其他异常活动时采取行动，对於避免成为攻击受害者非常重要。」