微軟警告稱，威脅行為者繼續在攻擊中利用 Log4j 缺陷

微軟警告說，民族國家行為者和網絡犯罪分子不斷嘗試利用最近發現的 Apache Log4j 庫中的漏洞在易受攻擊的系統上部署惡意軟件。

微軟建議客戶檢查他們的基礎設施以尋找易受攻擊的安裝，據專家稱，組織可能沒有意識到他們的環境可能已經受到威脅。 

“在 12 月的最后幾周，開發嘗試和測試一直很高。我們觀察到許多現有的攻擊者在他們現有的惡意軟件工具包和策略中添加了對這些漏洞的利用，從硬幣礦工到手動鍵盤攻擊。” 閱讀Microsoft 威脅情報中心 (MSTIC) 發布的帖子。

在披露第一個漏洞后，微軟立即警告民族國家行為者試圖利用 Log4j 中的 Log4Shell 漏洞，并在隨后的幾天內警告其他漏洞（CVE-2021-45046、  CVE-2021-45105、  CVE-2021- 4104和 CVE-2021-44832 ) 是在庫中發現的，這些漏洞被野外威脅者利用。

研究人員觀察到的大多數攻擊是大規模掃描、硬幣挖掘、建立遠程外殼和紅隊活動，

一種常見的攻擊模式會出現在帶有如下字符串的 Web 請求日志中：

上述字符串可以通過分析其組件輕松識別，例如“jndi”（Java 命名和目錄接口）、“ldap”、“ldaps”、“rmi”、“dns”、“iiop”或“ http。” 然而，攻擊者正在對這些請求添加混淆，以逃避基于請求分析的檢測。

即使大規模掃描嘗試沒有停止的跡象，但仍在努力通過混淆惡意 HTTP 請求來逃避字符串匹配檢測，該請求使用 Log4j 來生成 Web 請求日志，該日志利用 JNDI 執行對攻擊者控制的請求地點。

微軟警告稱，該漏洞會迅速被Mirai和Tsunami等現有僵尸網絡感染，該公司還表示繼續觀察通過該漏洞執行數據泄漏的惡意活動，而不丟棄有效載荷。

“微軟已經觀察到該漏洞迅速被 Mirai 等現有僵尸網絡吸收，現有活動以前針對易受攻擊的 Elasticsearch 系統部署加密貨幣礦工，以及將海嘯后門部署到 Linux 系統的活動。其中許多活動正在同時針對 Windows 和 Linux 系統運行掃描和利用活動，使用 JDNI:ldap:// 請求中包含的 Base64 命令在 Linux 上啟動 bash 命令并在 Windows 上啟動 PowerShell。” 繼續微軟。

“微軟還繼續觀察到通過該漏洞執行數據泄漏的惡意活動，而沒有丟棄有效載荷。這種攻擊場景可能對具有 SSL 終止的網絡設備特別有影響，在這種情況下，攻擊者可能會泄露機密和數據。”

專家們還報告了通過在人為攻擊中利用 CVE-2021-44228 來丟棄額外的 RAT 和反向 shell。研究人員觀察到Cobalt Strike和 PowerShell 反向 shell 以及 Meterpreter、njRAT （又名 Bladabindi）和 HabitsRAT 的使用。

這家 IT 巨頭還證實，Webtoos DDoS 惡意軟件也是通過 Log4Shell 漏洞部署的。 

“客戶應該假設漏洞利用代碼和掃描功能的廣泛可用性對其環境構成真實存在的危險。由于受到影響的許多軟件和服務以及更新的速度，預計這將有很長的補救措施，需要持續、可持續的警惕。” 微軟總結道。