Tehdit aktörleri artık, kötü şöhretli Dridex bankacılık truva atı veya Meterpreter ile savunmasız cihazlara bulaşmak için Log4Shell adlı kritik Apache Log4j güvenlik açığından yararlanıyor.
Dridex kötü amaçlı yazılımı, başlangıçta kurbanlardan çevrimiçi bankacılık kimlik bilgilerini çalmak için geliştirilmiş bir bankacılık truva atıdır. Ancak zamanla, kötü amaçlı yazılım, ek yükler yüklemek, diğer cihazlara yayılmak, ekran görüntüsü almak ve daha fazlası gibi farklı kötü niyetli davranışları gerçekleştirmek için kullanılabilecek çeşitli modülleri indiren bir yükleyici haline geldi.
Dridex enfeksiyonlarının, Evil Corp hack grubuyla bağlantılı olduğuna inanılan operasyonlardan fidye yazılımı saldırılarına yol açtığı da biliniyor. Bu fidye yazılımı enfeksiyonları arasında BitPaymer, DoppelPaymer ve muhtemelen diğer sınırlı kullanımlı fidye yazılımı çeşitleri bulunur.
Log4j, Dridex ve Meterpreter’ı kurmak için kullanıldı
Bugün, siber güvenlik araştırma grubu Cryptolaemus, Log4j güvenlik açığının artık Windows cihazlarına Dridex Trojan ve Linux cihazlarına Meterpreter bulaştırmak için kullanıldığı konusunda uyardı.
kriptolemus üyesi Joseph Roosen BleepingComputer’a tehdit aktörlerinin Log4j RMI (Uzaktan Yöntem Çağırma) değişkeninden yararlanma savunmasız cihazları, saldırgan tarafından kontrol edilen bir uzak sunucudan bir Java sınıfını yüklemeye ve yürütmeye zorlamak.
Çalıştırıldığında, Java sınıfı önce Dridex truva atını yükleyecek olan çeşitli URL’lerden bir HTA dosyası indirip başlatmayı dener. Windows komutlarını yürütemezse, aygıtın Linux/Unix çalıştırdığını varsayar ve Meterpreter’i yüklemek için bir Python betiği indirip yürütür.
Meterpreter’i bir Linux kutusunda çalıştırmak, tehdit aktörlerine daha fazla yük dağıtmak veya komutları yürütmek için kullanabilecekleri uzak bir kabuk sağlayacaktır.
Dridex tehdit aktörleri, BleepingComputer’ın aşağıdaki resimlerden çıkardığı dosya adlarında ve URL’lerinde ırksal ve dini hakaretler kullanmalarıyla bilinir.
Windows’ta Java sınıfı bir HTA dosyası indirecek ve onu açacaktır, bu da C:ProgramData klasöründe bir VBS dosyasının oluşturulmasına neden olacaktır. Bu VBS dosyası, Dridex için ana indirici görevi görür ve daha önce diğer Dridex e-posta kampanyalarında görülmüştür.
Yürütüldüğünde, VBS dosyası, çeşitli ortam değişkenlerini kontrol ederek kullanıcının bir Windows etki alanının parçası olup olmadığını kontrol edecektir. Kullanıcı bir etki alanının parçasıysa, VBS dosyası Dridex DLL dosyasını indirecek ve aşağıda gösterildiği gibi Rundll32.exe kullanarak yürütecektir.
Daha önce de belirtildiği gibi, orijinal Java sınıfı istismarı Windows komutlarını başlatamazsa, işletimin bir Unix/Linux cihazı olduğunu varsayar ve bunun yerine bir ‘m.py’ python betiği indirir.
Yukarıdaki komut dosyası, tehdit aktörlerine ters bir kabuk sağlayan bir pentesting aracı olan Meterpreter’i yüklemek için yürütülecek bir base64 kodlu komut dosyası içerir.
Tehdit aktörleri Meterpreter’i kullanarak güvenliği ihlal edilmiş Linux sunucusuna bağlanabilir ve ağa daha fazla yayılmak, verileri çalmak veya fidye yazılımı dağıtmak için uzaktan komutlar yürütebilir.
Log4j, tehdit aktörleri tarafından çok çeşitli kötü amaçlı yazılım yüklemek için kullanılırken, daha aktif kötü amaçlı yazılım operasyonlarının güvenlik açığını hedef almaya başlaması şaşırtıcı değil.
Diğer kötü amaçlı yazılım operasyonlarının, sunucuları ve dahili şirket ağlarını tehlikeye atmak için bu güvenlik açığından yararlanmaya başladığını görmeyi beklemeliyiz. Bu nedenle, tüm kuruluşların Log4j kullanan güvenlik açığı bulunan uygulamaları taraması ve bunları en son sürümlere güncellemesi şiddetle tavsiye edilir.
Buna, Log4j’nin yeni bir hizmet reddi güvenlik açığını gidermek için bu Cumartesi yayınlanan en son sürüm olan 2.17 sürümüne güncellenmesi de dahildir.
Güvenlik açığı bulunan uygulamaları bulmak için kullanılabilecek birçok Log4j tarayıcı vardır. yeni yerel tarayıcı Profero güvenliğinden.