Koncert er en ny ransomware-familie forsøger i øjeblikket at udnytte den kritiske Apache Log4j-sårbarhed, også kendt som CVE-2021-44228, Log4Shell og Logjam.
Apache Log4j-sårbarhed: CVE-2021-44228
Ifølge National Vulnerability Database, "Apache Log4j2 <=2.14.1 JNDI features used in configuration, log messages, and parameters do not protect against attacker-controlled LDAP and other JNDI related endpoints.” In other words, threat actors who can control log message parameters will also be able to execute arbitrary code loaded from LDAP server. The only condition is that message lookup substitution is enabled.
Roman Koncert Ransomware-familie
Bitdefender-forskere har for nylig observeret, at angribere udnytter Log4j-sårbarheden til at levere ondsindede nyttelast, inklusive den tidligere ukendte Khonsari ransomware rettet mod Windows-servere.
I en anden teknisk oversigt over Khonsari, Cado-forskere siger, at "udnyttelsen indlæser Java-bytekoden kl hxxp://3.145.115[.]94/Hovedklasse via JNDI, som derefter downloader Kohnsari ransomware fra hxxp://3.145.115[.]94/zambo/groenhuyzen.exe."
Forskerne var i stand til at hente en prøve af ransomwaren for at udføre en statisk og en retsmedicinsk analyse.
Ransomwaren er kodet i C# og bruger .NET frameworket. Den henter kildekoden via dekompilering på en ligetil måde, ved hjælp af værktøjer som ILspy. En gang dekompileret, kildekoden afslører, hvad malware'ens muligheder er:
Khonsari er – ærligt talt – lidt kedelig. Den vejer kun 12 KB og indeholder kun den mest grundlæggende funktionalitet, der kræves for at udføre sit ransomware-mål. Dens størrelse og enkelhed er dog også en styrke - på det tidspunkt, hvor vi kørte malwaren dynamisk, blev den ikke opdaget af systemerne indbygget i Antivirus, Cado-forskere sagde.
Når den udføres, ransomware opregner alle monterede drev, bortset fra C:\, initiering af kryptering af alt indhold fundet på drevene. Det ser ud til, at kryptering af C:\ drive er mere målrettet – Khonsari retter sig mod brugerdirektører, inklusive dokumenter, Videoer, Billeder, Downloads og desktop. Hver fil er krypteret via AES-128 CBC-algoritmen. Når kryptering er færdig, .khonsari-udvidelsen er tilføjet til krypterede data.
Konsulat Ransomware ved hjælp af CVE-2021-44228
Ransomwaren udnytter i øjeblikket den kritiske Apache-fejl. Men, angrebene baseret på denne sårbarhed downloader også en ekstra ondsindet nyttelast – Orcus fjernadgangstrojaneren.
USA. Agenturet for cybersikkerhed og infrastruktursikkerhed var den, der afslørede den aktive udnyttelse af fejlen.
"CISA og dets partnere, gennem Joint Cyber Defense Collaborative, sporer og reagerer på aktive, udbredt udnyttelse af en kritisk sårbarhed ved fjernudførelse af kode (CVE-2021-44228) påvirker Apache Log4j softwarebibliotek version 2.0-beta9 til 2.14.1. Log4j bruges meget bredt i en række forbruger- og virksomhedstjenester, hjemmesider, og applikationer – såvel som i driftsteknologiske produkter – til at logge sikkerheds- og ydeevneoplysninger. En uautoriseret fjernaktør kan udnytte denne sårbarhed til at tage kontrol over et berørt system,” sagde CISA-alarmen.
Patching af CVE-2021-44228 er stærkt rådgivende. CISA har skabt Apache Log4j sårbarhedsvejledning at hjælpe med at løse det kritiske problem.
I juli 2021, REvil ransomware-banden gennemførte et hidtil uset supply chain ransomware-angreb mod kunder fra Kaseyas VSA-produkt. Angrebene var baseret på udnytter CVE-2021-30116 nul-dage.
Milena Dimitrova
En inspireret forfatter og indholdschef, der har været hos SensorsTechForum siden projektets start. En professionel med 10+ års erfaring med at skabe engagerende indhold. Fokuseret på brugernes privatliv og malware udvikling, hun tror stærkt på en verden, hvor cybersikkerhed spiller en central rolle. Hvis almindelig sund fornuft giver ingen mening, hun vil være der til at tage noter. Disse noter senere kan blive til artikler! Følg Milena @Milenyim
Følg mig: