Вайпер Khonsari атакует серверы Minecraft через уязвимость Log4Shell

Компания Microsoft призвала администраторов серверов Minecraft, не использующих ее хостинг, в срочном порядке обновить их из-за атак вымогательского ПО Khonsari, эксплуатирующего критическую уязвимость Log4Shell.

Шведский производитель Minecraft, компания Mojang Studios, на прошлой неделе выпустила экстренное обновление безопасности, исправляющее уязвимость ( CVE-2021-44228 ) в популярной Java-библиотеке журналирования Apache Log4j (библиотека используется в клиенте Minecraft Java Edition и многопользовательских серверах).

Хотя изначально Microsoft не упоминала атаки на серверы Minecraft через Log4Shell, теперь она обновила свое руководство по устранению уязвимости, добавив информацию об атаках вымогательского ПО на серверы Minecraft, для которых Microsoft не предоставляет хостинг.

«В этих случаях злоумышленник отправляет на уязвимый сервер Minecraft вредоносное внутриигровое сообщение, эксплуатирующее CVE-2021-44228 для извлечения и выполнения полезной нагрузки атакующего как на сервере, так и в подключенных уязвимых клиентах. Мы зафиксировали эксплуатацию, приведшую к доставке Java класса File, представляющего собой вымогательское ПО Khonsari, которое затем выполнялось в контексте javaw.exe», – говорится в уведомлении Microsoft.

Специалисты Microsoft 365 Defender Threat Intelligence Team и Microsoft Threat Intelligence Center (MSTIC) также зафиксировали развертывание обратных оболочек на базе PowerShell во взломанных корпоративных сетях, где уязвимость в Log4j на серверах Minecraft была начальной точкой входа.

Хотя игра Minecraft – это не то, что ожидаешь увидеть на корпоративных конечных точках, злоумышленники, успешно скомпрометировавшие один из таких серверов, с помощью Mimikatz похищают учетные данные, вероятно для сохранения доступа ко взломанным системам для дальнейших действий.

Для обновления до исправленной версии геймерам, использующим официальный клиент Mojang, рекомендуется закрыть все запущенные игры и установки Minecraft Launcher и перезапустить Launcher, после чего патч установится автоматически.

Геймеры, использующие модифицированные клиенты Minecraft и сторонние лаунчеры, должны обратиться к их поставщикам и запросить обновление.

Отдельно стоит упомянуть об использующемся в атаках на серверы Minecraft вредоносном ПО Khonsari. ИБ-компания Bitdefender, которая первой обнаружила атаки Khonsari через уязвимость Log4Shell, назвала его вымогательским ПО. Однако, это определение может быть не совсем точным, поскольку после атаки записка с требованием выкупа и контактами для связи с вымогателями не появляется.

Более того, как отметил специалист Emsisoft Бретт Кэллоу (Brett Callow), вредонос назван в честь антикварного магазина в Луизиане и использует контакты его владельца, а не киберпреступников.

Отсутствие данных для уплаты выкупа позволяет классифицировать Khonsari как деструктивное вредоносное ПО типа вайпер, использующееся для выведения из строя серверов Minecraft с целью гриферства или троллинга.

Грифер – игрок, портящий другим игровой процесс без всякой пользы для себя и других игроков. Такое поведение (гриферство) включает в себя любые способы расстроить других игроков. Явление типично для online-игр и может проявляться в убийстве игровых персонажей, ограничении доступа к ресурсам в игре, троллинге в игровом чате и т.д.