【安全资讯】微软发现多个APT组织滥用Log4j 漏洞进行恶意活动

引言

12月14日，微软更新了CVE-2021-44228漏洞利用指南，补充了有关利用此漏洞的多个攻击组织的信息。CVE-2021-44228漏洞也被称为 Log4Shell 或 LogJam，目前正被与伊朗、朝鲜和土耳其政府有关的威胁组织以及勒索软件团伙使用的访问代理所利用。

简况

最早开始利用 Log4Shell 释放有效载荷的威胁组织是挖矿和僵尸网络团伙。微软已经观察到以下滥用 Log4Shell 漏洞的活动：Mirai 等现有僵尸网络的活动；针对易受攻击的 Elasticsearch 系统部署加密货币矿工的活动；将Tsunami后门部署到 Linux 系统的活动。其中许多活动同时针对 Windows 和 Linux 系统进行扫描和利用活动。

APT组织

微软于12月14日更新了报告，补充称检测到了使用 Log4Shell 漏洞的APT活动，这些活动来自伊朗、朝鲜和土耳其的APT组织。

其中一个攻击者是伊朗威胁组织 Phosphorus（又名Charming Kitten、APT 35），该组织获取并修改了 Log4Shell 漏洞利用。与大多数 APT 组织不同，Charming Kitten 也曾发起过勒索软件攻击，但其目的主要是为了破坏运营以及网络间谍活动，而不是经济获益。

另一个利用 Log4Shell 漏洞的APT组织是 Hafnium，该组织正使用 Log4Shell 攻击虚拟化基础设施，以扩展他们的典型目标。

微软没有分享观察到的来自朝鲜或土耳其的黑客攻击的具体信息。

访问代理

微软还证实，多个为各种团体提供初始网络访问权限的代理也开始利用 Log4j 漏洞。这些代理会将网络访问权限出售给勒索软件即服务的附属公司。

此前，Bitdefender 的一份报告显示，Log4Shell漏洞已经被用于部署Khonsari勒索软件。微软预计 Windows 和 Linux 服务器上的勒索软件攻击将激增。