Sophos 發佈最新勒索軟件警告調查揭露網絡攻擊者正利用Log4Shell 漏洞於虛擬伺服器安裝後門程式

Sophos 發佈最新勒索軟件警告

調查揭露網絡攻擊者正利用Log4Shell 漏洞於虛擬伺服器安裝後門程式

Sophos作為新一代網絡安全領域的全球領導廠商，今日發布調查指出網絡攻擊者如何利用 Log4Shell 的漏洞，對未經修補的 VMware Horizon 伺服器植入後門程式和分析指令碼，從而持續存取伺服器，並策劃各種勒索軟件攻擊。Sophos的最新技術文章《大量挖礦機器人和後門程式利用 Log4J攻擊VMware Horizon 伺服器》中，詳細介紹各類攻擊工具和手法，並指出3 個後門程式及4 個加密挖礦程式將如何損害伺服器，而該後門程式有機會由初始存取代理流程 (Initial Access Brokers)中植入伺服器。

Log4Shell 為 Java 日誌元件 Apache Log4J 中的一個遙距程式碼執行漏洞，並被廣泛安裝至數百款軟件產品當中，而該漏洞於 2021 年 12 月被發現並進行修補。

Sophos 資深安全研究員 Sean Gallagher 表示：「由於受大眾廣泛使用的應用程式多數放置於互聯網且需要手動更新，因此令相關應用程式特別容易被攻擊者所利用，而VMware Horizo​​n正好符合上述條件。Sophos detections發現 Horizon從1月份開始被持續攻擊，該攻擊專門針對未經修補的伺服器，  從而植入一系列的後門程式、加密挖礦程式，以及收集電子裝置資訊的指令碼。Sophos 認為部分後門程式可能經初始存取代理流程所植入，以持續遙距存取高價值的目標裝置，繼而出售予其他攻擊者，例如勒索軟件用戶。」

Sophos 偵測到以下4個惡意工具曾利用Log4Shell， 以鎖定易於攻擊的 Horizo​​n 伺服器：

• 2 款受認可的遙距監控及管理工具－ Atera agent和 Splashtop Streamer
• 惡意後門程式Sliver
• 加密挖礦程式 z0Miner、JavaX Miner、Jin 和 Mimu
• 能收集裝置和備份資訊的 PowerShell 反向指令介面

根據Sophos 的分析顯示，Sliver有時會與 Atera agent 和 PowerShell 分析指令碼同時被植入目標裝置，並藉此傳送XMrig Monero 挖礦殭屍網絡的 Jin 和 Mimu 變種程式至受害裝置。Sophos 續指，攻擊者正採取不同方法以感染目標。雖然部分早期攻擊會利用 Cobalt Strike以暫存和執行加密挖礦程式的惡意載荷，但從 2022 年 1 月中旬所發生的最大規模攻擊中可見，攻擊者則直接從 VMware Horizo​​n 伺服器的 Apache Tomcat 元件中，執行加密挖礦程式的安裝程序指令碼，而相關攻擊仍然正在進行。

Gallagher 表示：「Sophos 的調查結果反映多個攻擊者正利用漏洞進行攻擊，所以企業現時的當務之急為採用已修補漏洞的Log4J 版本軟件升級所有的裝置和應用程式，包括 已修補版本的VMWare Horizo​​n。由於Log4J 被廣泛應用於數百個軟件產品中，令許多企業可能因此沒有意識到該基礎設施的漏洞，尤其是欠缺恆常安全支援的商用軟件、開放原始碼軟件或自訂軟件。雖然修補工作很重要，但假如攻擊者已在網絡中安裝網頁命令介面或後門程式的話，普通系統防護則難以妥善防範攻擊。為了減低受到攻擊的風險，企業必須採取深度防禦策略，並在發現挖礦程式和其他異常活動時採取即時行動。」

如需更多資訊，請閱讀 Sophos News 上的文章《大量挖礦機器人和後門程式利用 Log4J攻擊VMware Horizon 伺服器》。

Sophos 現時正密切監測與 Log4Shell 漏洞相關的攻擊活動，並發布多篇深入的技術和諮詢報告，包括《Log4Shell 地獄──漏洞爆發剖析》、《Log4Shell 回應和風險減緩建議》、《程式碼揭密：Log4Shell 漏洞開發的原理》和《Log4Shell：不是大規模攻擊卻讓人無法喘息，發生什麼事？》