Yaygın olarak kullanılan Log4j yazılımındaki Log4Shell güvenlik açıkları, cihazları DDoS botnetlerine dahil etmek ve kripto madencileri yerleştirmek de dahil olmak üzere çeşitli kötü amaçlı yazılım yüklerini dağıtmak için bugün hala tehdit aktörleri tarafından kullanılıyor.
Barracuda tarafından hazırlanan bir rapora göre, geçtiğimiz birkaç ay Log4Shell’in hedeflenmesinde düşüşler ve ani artışlarla karakterize edildi, ancak istismar girişimlerinin hacmi nispeten sabit kaldı.
Bu saldırıları analiz ettikten sonra Barracuda, çoğu istismar girişiminin ABD merkezli IP adreslerinden geldiğini ve onu Japonya, Orta Avrupa ve Rusya’nın izlediğini belirledi.
Aralık 2021’de araştırmacılar, Log4j 2.14.1 sürümünün ve önceki tüm sürümlerin CVE-2021-44228’e karşı savunmasız olduğunu buldu. “Log4Shell” kritik bir sıfır günlük uzaktan kod yürütme hatası.
Log4j’nin geliştiricisi Apache, 2.15.0 sürümünü yayınlayarak sorunu çözmeye çalıştı. Ancak, sonraki güvenlik açığı keşifleri ve güvenlik açıkları, yama yarışını yıl sonuna kadar uzattı. sürüm 2.17.1 sonunda tüm sorunları ele aldı.
Ancak Barracuda’ya göre, birçok sistem popüler günlük kaydı çerçevesinin eski sürümlerini çalıştırmaya devam ediyor ve bu nedenle istismara açık.
DDoS ve madencilik için kaldıraçlı
Barracuda araştırmacıları, savunmasız Jog4j dağıtımlarını hedefleyen çeşitli yükleri tespit ettiler, ancak Mirai botnet türevleri şu anda aslan payını alıyor gibi görünüyor.
Mirai kötü amaçlı yazılımı, herkese açık ağ kameralarını, yönlendiricileri ve diğer cihazları hedef alır ve bunları uzaktan kontrol edilen botlardan oluşan bir botnet’e dahil eder. Tehdit aktörü daha sonra belirli bir hedefe DDoS saldırıları gerçekleştirmek için bu botnet’i kontrol edebilir, kaynaklarını tüketebilir ve çevrimiçi hizmetlerini kesintiye uğratabilir.
Olarak Barracuda’nın raporu Mirai’nin çeşitli şekillerde ve farklı kaynaklardan dağıtıldığını açıklıyor, bu da operatörlerin gelecekte her boyutta kurbanı hedef alan büyük bir botnet oluşturmaya çalıştıklarını gösteriyor.
Bu operasyonların arkasındaki tehdit aktörleri ya botnet ateş gücünü başkalarına kiralıyor ya da şirketleri gasp etmek için DDoS saldırıları başlatıyor.
Son Log4j istismarının düştüğü görülen diğer yükler şunları içerir:
- BillGates kötü amaçlı yazılımı (DDoS)
- Akrabalık (kripto para birimi)
- XMRig (şifreleyici)
- Muhstik (DDoS)
Barracuda’nın analistleri, halka açık VMWare kurulumlarından yararlanan fidye yazılımı çeteleri görmediklerini ve daha çok, halihazırda güvenliği ihlal edilmiş ağlar için içeriden bir tehdit olarak kullanıldığına inandıklarını söylüyorlar.
Örneğin, Conti Ransomware, Log4j açıklarından yararlandı VMware vCenter kurulumlarına yanal olarak yayılmak için
Kalıcı bir tehdit
Bu tür saldırılara karşı korunmanın en basit yolu, Log4j’yi 2.17.1 veya sonraki bir sürüme güncellemek ve genel olarak tüm web uygulamalarınızı güncel tutmaktır.
Mirai tarafından hedeflenen cihazların çoğu, bireysel paketleri güncellemenize izin vermediğinden, Log4j düzeltmelerini içeren güncellenmiş donanım yazılımını kontrol etmeniz ve varsa bunları uygulamanız gerekecektir.
Barracuda düzenli bir Log4Shell saldırısı gördüğünü bildirirken, Sophos yakın zamanda düşüş bildirdi. Ancak, tüm analistler tehdidin devam ettiği konusunda hemfikir.
ilgi görse de tehdit aktörlerinin çoğunluğu azalır, bazıları, sayıları dikkate değer kaldığı için savunmasız Log4j dağıtımlarını hedeflemeye devam edecektir.
Fidye yazılımı saldırıları için kazançlı olan değerli kuruluşlar güvenlik güncellemelerini uyguladılar, ancak kripto madenciliği ve DDoS saldırıları için eski sürümleri çalıştıran ihmal edilen sistemler mükemmel hedefler.