Уязвимость Log4j, также называемая Log4Shell (CVE-2021-44228), по-прежнему представляет собой серьезную угрозу для организаций, о чем свидетельствует недавняя кампания, о которой сообщила Datadog Security Labs и которая нацелена на криптомайнинг и взлом системы.
Злоумышленники используют обфусцированные запросы Lightweight Directory Access Protocol (LDAP) для выполнения вредоносных скриптов на взломанных системах, которые затем устанавливают постоянство, проводят разведку системы и уносят данные. Эта кампания включает в себя развертывание криптомайнера XMRig и поддержание контроля с помощью многочисленных бэкдоров, включая зашифрованные каналы связи. Механизмы сохранения зависят от привилегий пользователя, при этом скрипт устанавливает либо службы systemd, либо задания cron для продолжения работы.
Кроме того, скрипт создает обратные оболочки для удаленного управления и использует различные методы для обхода обнаружения и удаления. Собранные системные данные передаются на удаленный сервер, а скрипт очищает следы своей деятельности, чтобы избежать обнаружения. Эта продолжающаяся эксплуатация подчеркивает постоянную опасность непропатченных уязвимостей.
Indicators of Compromise
IPv4
- 185.220.101.34
Domains
- cmpnst.info
- nfdo.shop
- rirosh.shop
- superr.buzz
SHA256
- 4f11db82193aebe710585b2faefd2b904b6fe6636f7dc25541cea0dd31adada4
- 5441be217e98051c284d584e830f9a7fc2153143fafee0dc9f6af197cec6c8c9
- e4edfa8c6891f6815c05e73852212207cc454a42496d1a109e750c660368b5c1
