安全研究人員發現利用 Log4j 漏洞的第二個勒索軟件家族
安全研究人員觀察到名為 TellYouThePass 的勒索軟件家族嘗試利用最近發現的 Log4j 高危漏洞。TellYouThePass 勒索軟件家族被認為年代比較悠久且基本不活躍,在廣泛使用的 Log4j 日志框架發現漏洞之后,該勒索軟件家族再次活躍。研究人員表示,繼 Khonsari 勒索軟件之后,TellYouThePass 成為第二個被觀察到利用 Log4j 漏洞(被稱為Log4Shell)的勒索軟件家族。
雖然之前的報道表明 TellYouThePass 主要針對中國目標,但安全公司 Sophos 的研究人員表示,他們觀察到 TellYouThePass 勒索軟件在中國境內和境外(包括美國和歐洲)的傳播企圖。Sophos Labs 的高級威脅研究員 Sean Gallagher 表示:“中國的系統以及托管在美國和歐洲多個站點的亞馬遜和 Google 云服務系統都成為目標。”Gallagher 表示,Sophos 在 12 月 17 日和 12 月 18 日檢測到利用 Log4j 漏洞傳播 TellYouThePass 負荷的企圖。Sophos 威脅研究員 Andrew Brandt 表示,TellYouThePass 有在 Linux 或 Windows 上運行的版本,“有利用EternalBlue 等知名漏洞的歷史。”Brandt 表示,Linux版本能竊取 Secure Socket Shell(SSH) 密鑰并能執行橫向移動。Sophos 在 12月 20 日的博文中披露它檢測到 TellYouThePass 勒索軟件。
TellYouThePass 勒索軟件利用 Log4j 漏洞的第一份報告來自中國網絡安全組織 KnownSec404 團隊的負責人,時間是 12 月 12 日。研究人員社區 Curated Intelligence表 示,隨后其他研究人員證實 TellYouThePass 與 Log4Shell 一同部署的企圖。在周二的一篇博文中,Curated Intelligence 表示其成員現在確認 TellYouThePass 被發現利用這個漏洞(未經修復)“針對 Windows 和 Linux 系統。”Curated Intelligence表 示,TellYouThePass 最近一次被觀察到是在 2020 年 7 月。
