Для эксплуатации Log4Shell майнеры Monero переходят с LDAP на RMI

Некоторые киберпреступники, эксплуатирующие уязвимость в Apache Log4j, переключились с URL-адресов возврата LDAP на RMI или даже начали использовать и то и другое в одном запросе для повышения шансов на успех, сообщили эксперты ИБ-компании Juniper Labs.

Это изменение является крутым поворотом в текущих атаках, и ИБ-команды должны учитывать этот вектор при обеспечении безопасности. Пока что на RMI переходят киберпреступники, взламывающие ресурсы с целью установки майнеров криптовалюты Monero, но и остальные в скором времени могут перенять этот тренд.

Большинство атак через уязвимость Log4Shell в библиотеке журналирования Log4j осуществляются через протокол LDAP (Lightweight Directory Access Protocol). Переключение на программный интерфейс вызова удаленных методов RMI (Remote Method Invocation) на первый взгляд кажется нелогичным, поскольку этот механизм подвергается дополнительным проверкам и ограничениям, но это не всегда так.

В некоторых версиях JVM (Java Virtual Machine) строгие политики отсутствуют, поэтому RMI иногда может быть более удобным каналом для удаленного выполнения кода, чем LDAP.

Более того, LDAP-запросы теперь являются известным звеном цепочки заражения, и команды безопасности осуществляют их мониторинг тщательнее.

К примеру, множество инструментов IDS/IPS в настоящее время фильтруют запросы с JNDI и LDAP, поэтому есть шанс, что они пропустят RMI. В некоторых случаях эксперты Juniper Labs фиксировали и RMI, и LDAP в одном и том же HTTP POST-запросе.

Как бы то ни было, цель всех киберпреступников, пытающихся проэксплуатировать Log4Shell, одна – отправка строки кода эксплоита для на сервер Log4j, что приведет к выполнению кода.