帳號:
密碼:
最新動態
產業快訊
CTIMES/SmartAuto / 新聞 /
Sophos揭露攻擊者利用Log4Shell漏洞植入後門
 

【CTIMES/SmartAuto 劉昕 報導】   2022年03月31日 星期四

瀏覽人次:【2509】

Sophos發布攻擊者如何利用Log4Shell漏洞,在未修補的VMware Horizon伺服器,植入後門和分析指令碼的調查結果,這些手法將為日後持續存取和勒索軟體攻擊打下基礎。

最新的技術文章《大量挖礦機器人和後門利用Log4J攻擊VMware Horizon伺服器》,詳細介紹被用於入侵伺服器和植入3個不同的後門和4個加密挖礦程式的工具和手法。這些後門可能是由初始存取代理(IAB)植入的。

Log4Shell是Java日誌元件Apache Log4J中的一個遠端程式碼執行漏洞,被廣為使用在數百個軟體產品中。它於2021年12月被發現並進行修補。

Sophos資深安全研究員Sean Gallagher表示:「廣為使用的應用程式,例如面對網際網路且需要手動更新的VMware Horizon,特別容易受到利用。Sophos偵測發現了一波從1月份開始鎖定Horizon伺服器的攻擊,這些攻擊會向未經修補的伺服器植入一系列後門和加密挖礦程式,以及收集裝備資訊的指令碼。Sophos認為,部分後門可能是由初始存取代理植入的,因為他們想要持續從遠端存取這些有價值的目標,然後將其出售給其他攻擊者,例如勒索軟體操作者。」

Sophos偵測到使用Log4Shell鎖定易受攻擊Horizon伺服器的裝載,包括2個合法的遠端監控和管理工具Atera代理程式和Splashtop Streamer,它們很可能被惡意用作後門;惡意的Sliver後門程式;加密挖礦程式z0Miner、JavaX挖礦程式、Jin和Mimu;幾個會收集裝置和備份資訊的PowerShell反向命令介面。

根據Sophos分析顯示,Sliver有時會與Atera和PowerShell分析指令碼一起被植入,用於遞送XMrig Monero挖礦殭屍網路的Jin和Mimu變種。

根據Sophos指出,攻擊者正在使用幾種不同的方法感染目標。雖然早期一些攻擊使用Cobalt Strike來暫存和執行加密挖礦程式的裝載,但從2022年1月中旬開始的最大一波攻擊,則是直接從VMware Horizon伺服器的Apache Tomcat元件執行加密挖礦程式的安裝程序指令碼。這波攻擊仍在持續中。

Gallagher表示:「Sophos的調查結果表明,多個攻擊者正在進行這些攻擊,因此最重要的保護步驟是使用已修補Log4J版本的軟體升級所有的裝置和應用程式。包括VMWare Horizon的已修補版本,如果組織有在網路中使用這個應用程式的話。Log4J被廣為安裝在數百個軟體產品中,而且許多組織可能沒有意識到這個潛伏在基礎架構中的漏洞,尤其是商用、開放原始碼或缺乏一般安全支援的自訂軟體。雖然修補很重要,但如果攻擊者已經能夠在網路中安裝網頁命令介面或後門,那麼這些保護還不夠。進行深度防禦,並在發現挖礦程式和其他異常活動時採取行動,對於避免成為攻擊受害者非常重要。」

關鍵字: Sophos 
相關新聞
Sophos宣布新任總裁暨代理執行長
「全球網路安全日」重要性今勝於昔
Sophos:許多勒索軟體集團蓄意發動遠端加密攻擊
Sophos:勒索軟體集團利用媒體美化形象
Sophos:預期將出現使用AI的攻擊技術並做好偵測準備
相關討論
  相關文章
» 以馬達控制器ROS1驅動程式實現機器人作業系統
» 推動未來車用技術發展
» 節流:電源管理的便利效能
» 開源:再生能源與永續經營
» 「冷融合」技術:無污染核能的新希望?


刊登廣告 新聞信箱 讀者信箱 著作權聲明 隱私權聲明 本站介紹

Copyright ©1999-2024 遠播資訊股份有限公司版權所有 Powered by O3  v3.20.2048.13.58.75.125
地址:台北數位產業園區(digiBlock Taipei) 103台北市大同區承德路三段287-2號A棟204室
電話 (02)2585-5526 #0 轉接至總機 /  E-Mail: webmaster@ctimes.com.tw