Fidye yazılımı indirmek ve yüklemek için kullanılan Log4j Log4Shell güvenlik açığının ilk halka açık vakası araştırmacılar tarafından keşfedildi.
Geçen Cuma, bir kamu istismarı için serbest bırakıldı. ‘Log4Shell’ adlı kritik sıfır gün güvenlik açığı Apache Log4j Java tabanlı günlük kaydı platformunda. Log4j, geliştiricilerin Java uygulamalarına hata ve olay günlüğü eklemelerini sağlayan bir geliştirme çerçevesidir.
Güvenlik açığı, tehdit aktörlerinin Log4j tarafından okunduğunda platformun dahil edilen URL’ye bağlanmasına ve kod yürütmesine neden olan özel JNDI dizeleri oluşturmasına olanak tanır. Bu, saldırganların savunmasız cihazları kolayca tespit etmesine veya uzak bir site tarafından veya Base64 kodlu dizeler aracılığıyla sağlanan kodu yürütmesine olanak tanır.
Bu güvenlik açığı düzeltilirken Log4j 2.15.0 Log4j 2.16.0’da daha da sıkılaştırıldı ve tehdit aktörleri tarafından çeşitli kötü amaçlı yazılımları yükleyinmadeni para madencileri, botnet’ler ve hatta Cobalt Strike işaretçileri dahil.
İlk Log4j fidye yazılımı yüklemesinden yararlanıyor
Dün, BitDefender bildirdi doğrudan Log4Shell istismarları aracılığıyla kurulan ilk fidye yazılımı ailesini bulduklarını söyledi.
İstismar, bir Java sınıfını şuradan indirir: hxxp://3.145.115[.]94/Main.class
Log4j uygulaması tarafından yüklenir ve yürütülür.
Yüklendikten sonra, yeni fidye yazılımı yüklemek için aynı sunucudan bir .NET ikili dosyası indirirdi. [VirusTotal] ‘Konser’ olarak adlandırıldı.
Bu aynı ad, aşağıda gösterildiği gibi, şifreli dosyalar için bir uzantı olarak ve fidye notunda da kullanılır.
Daha sonraki saldırılarda BitDefender, bu tehdit aktörünün Orcus Uzaktan Erişim Truva Atı’nı dağıtmak için aynı sunucuyu kullandığını fark etti.
Muhtemelen bir silecek
Fidye yazılımı uzmanı Michael Gillespie, BleepingComputer’a Khonsari’nin geçerli şifreleme kullanır ve güvenlidir, yani dosyaları ücretsiz olarak kurtarmak mümkün değildir.
Bununla birlikte, fidye notunun bir tuhaflığı var – fidye ödemek için tehdit aktörüyle iletişim kurmanın bir yolunu içermiyor gibi görünüyor.
Emsisoft analisti brett callow BleepingComputer’a fidye yazılımının adının verildiğini ve tehdit aktörü yerine Louisiana antika dükkanı sahibinin iletişim bilgilerini kullandığına dikkat çekti.
Bu nedenle, bu kişinin fidye yazılımı saldırısının gerçek kurbanı mı yoksa bir tuzak olarak mı listelendiği belli değil.
Sebebi ne olursa olsun, tehdit aktörleri için yasal iletişim bilgileri içermediğinden, bunun fidye yazılımından ziyade bir silecek olduğuna inanıyoruz.
Bu, doğrudan fidye yazılımı (silecek?) yükleyen Log4j istismarının bilinen ilk örneği olsa da, Microsoft, Kobalt Strike işaretlerini dağıtmak için kullanılan istismarları zaten görmüştür.
Bu nedenle, daha gelişmiş fidye yazılımı operasyonlarının saldırılarının bir parçası olarak açıkları zaten kullanıyor olması muhtemeldir.