TTL OSINT

20.08.2024 139 2 мин.

Подарок, который продолжают дарить: новая оппортунистическая кампания Log4j

В этой статье обсуждается новая оппортунистическая кампания Log4j, которая началась 30 июля 2024 года, в ходе которой злоумышленники используют уязвимость для развертывания XMRig для крипто-майнинга. Атака включает в себя обычный эксплойт, нацеленный на уязвимость Log4j, с небольшой маскировкой, чтобы избежать обнаружения. Вредоносный Java-класс извлекается с удаленного сервера и выполняет серию команд для загрузки и запуска вредоносного скрипта. Скрипт собирает подробную системную информацию и отправляет ее на удаленный сервер с помощью curl в HTTP POST-запросе. Чтобы сохранить постоянство, скрипт настраивает обратную оболочку, используя Perl или nc и GPG для зашифрованного обмена данными. Продукты Datadog для обеспечения безопасности могут помочь обнаружить такое поведение, обнаруживая полезную нагрузку Log4Shell и отслеживая вызов Java-класса на втором этапе. Кроме того, уязвимости CSM позволяют идентифицировать приложения, уязвимые для оболочки Log 4, а угрозы CSM могут обнаруживать различные стадии активности после эксплуатации.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, позволяющего ускорить интеграцию статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://securitylabs.datadoghq.com/articles/the-gift-that-keeps-on-giving-a-new-opportunistic-log4j-campaign/

Выборочные показатели Compromise:

• http://185.159.82.103:8000/xExportObject.class
• 185.220.101.34
• e4edfa8c6891f6815c05e73852212207cc454a42496d1a109e750c660368b5c1
• http://nfdo.shop/lte
• 4f11db82193aebe710585b2faefd2b904b6fe6636f7dc25541cea0dd31adada4

Источник: TTL OSINT