Бесплатно Экспресс-аудит сайта:

22.12.2021

Преступники эксплуатируют Log4Shell для установки банковского трояна Dridex

Киберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.

По словам исследователей в области кибербезопасности из Cryptolaemus, уязвимость Log4Shell теперь эксплуатируется с целью заражения устройств под управлением Windows трояном Dridex и устройств под управлением Linux с помощью оболочки Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.

После запуска класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если класс Java не может выполнить команды Windows, значит устройство работает под управлением Linux/Unix, и в таком случае начнется загрузка и выполнение Python-скрипта для установки Meterpreter.

Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, позволяющую устанавливать дополнительные полезные нагрузки, перемещаться по сети жертвы, похищать данные или выполнять команды.

На устройствах под управлением Windows класс Java загружает HTA-файл, открывает его и создает файл VBS в папке C:ProgramData. VBS-файл выполняет роль основного загрузчика для Dridex и ранее уже использовался в других кампаниях по распространению вредоноса.

Как предупредили эксперты, другие операторы вредоносов вскоре также начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется просканировать свои сети на предмет уязвимых приложений, использующих Log4j, и обновить их до последних версий.