账号:
密码:
最新动态
产业快讯
CTIMES/SmartAuto / 新闻 /
Sophos揭露攻击者利用Log4Shell漏洞植入後门
 

【CTIMES / SMARTAUTO ABC_1 报导】    2022年03月31日 星期四

浏览人次:【2443】

Sophos发布攻击者如何利用Log4Shell漏洞,在未修补的VMware Horizon伺服器,植入後门和分析指令码的调查结果,这些手法将为日後持续存取和勒索软体攻击打下基础。

最新的技术文章《大量挖矿机器人和後门利用Log4J攻击VMware Horizon伺服器》,详细介绍被用於入侵伺服器和植入3个不同的後门和4个加密挖矿程式的工具和手法。这些後门可能是由初始存取代理(IAB)植入的。

Log4Shell是Java日志元件Apache Log4J中的一个远端程式码执行漏洞,被广为使用在数百个软体产品中。它於2021年12月被发现并进行修补。

Sophos资深安全研究员Sean Gallagher表示:「广为使用的应用程式,例如面对网际网路且需要手动更新的VMware Horizon,特别容易受到利用。Sophos侦测发现了一波从1月份开始锁定Horizon伺服器的攻击,这些攻击会向未经修补的伺服器植入一系列後门和加密挖矿程式,以及收集装备资讯的指令码。Sophos认为,部分後门可能是由初始存取代理植入的,因为他们想要持续从远端存取这些有价值的目标,然後将其出售给其他攻击者,例如勒索软体操作者。」

Sophos侦测到使用Log4Shell锁定易受攻击Horizon伺服器的装载,包括2个合法的远端监控和管理工具Atera代理程式和Splashtop Streamer,它们很可能被恶意用作後门;恶意的Sliver後门程式;加密挖矿程式z0Miner、JavaX挖矿程式、Jin和Mimu;几个会收集装置和备份资讯的PowerShell反向命令介面。

根据Sophos分析显示,Sliver有时会与Atera和PowerShell分析指令码一起被植入,用於递送XMrig Monero挖矿??尸网路的Jin和Mimu变种。

根据Sophos指出,攻击者正在使用几种不同的方法感染目标。虽然早期一些攻击使用Cobalt Strike来暂存和执行加密挖矿程式的装载,但从2022年1月中旬开始的最大一波攻击,则是直接从VMware Horizon伺服器的Apache Tomcat元件执行加密挖矿程式的安装程序指令码。这波攻击仍在持续中。

Gallagher表示:「Sophos的调查结果表明,多个攻击者正在进行这些攻击,因此最重要的保护步骤是使用已修补Log4J版本的软体升级所有的装置和应用程式。包括VMWare Horizon的已修补版本,如果组织有在网路中使用这个应用程式的话。Log4J被广为安装在数百个软体产品中,而且许多组织可能没有意识到这个潜伏在基础架构中的漏洞,尤其是商用、开放原始码或缺乏一般安全支援的自订软体。虽然修补很重要,但如果攻击者已经能够在网路中安装网页命令介面或後门,那麽这些保护还不够。进行深度防御,并在发现挖矿程式和其他异常活动时采取行动,对於避免成为攻击受害者非常重要。」

關鍵字: Sophos 
相关新闻
Sophos宣布新任总裁暨代理执行长
「全球网路安全日」重要性今胜於昔
Sophos:许多勒索软体集团蓄意发动远端加密攻击
Sophos:勒索软体集团利用媒体美化形象
Sophos:预期将出现使用AI的攻击技术并做好侦测准备
comments powered by Disqus
相关讨论
  相关文章
» SiC MOSFET:意法半导体克服产业挑战的颠覆性技术
» 超越MEMS迎接真正挑战 意法半导体的边缘AI永续发展策略
» 光通讯成长态势明确 讯号完整性一测定江山
» 分众显示与其控制技术
» 新一代Microchip MCU韧体开发套件 : MCC Melody简介


刊登廣告 新聞信箱 读者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 远播信息股份有限公司版权所有 Powered by O3  v3.20.1.HK8BN4B40MYSTACUKZ
地址:台北数位产业园区(digiBlock Taipei) 103台北市大同区承德路三段287-2号A栋204室
电话 (02)2585-5526 #0 转接至总机 /  E-Mail: webmaster@ctimes.com.tw