[资安人文章分享] Sophos揭露攻击者使用 Log4Shell 漏洞在虚拟伺服器植入后门

Sophos发布攻击者如何利用 Log4Shell 漏洞在未修补的 VMware Horizon 伺服器植入后门和分析指令码的调查结果，这些手法将为日后持续存取和勒索软体攻击打下基础。最新的技术文章《大量挖矿机器人和后门利用 Log4J 攻击 VMware Horizon 伺服器》详细介绍了被用于入侵伺服器和植入 3 个不同的后门和 4 个加密挖矿程式的工具和手法。这些后门可能是由初始存取代理 (IAB) 植入的。
 
Log4Shell 是 Java 日志元件 Apache Log4J 中的一个远端程式码执行漏洞，被广为使用在数百个软体产品中。它于 2021 年 12 月被发现并进行修补。
 
Sophos 资深安全研究员 Sean Gallagher 表示：「广为使用的应用程式，例如面对网际网路且需要手动更新的 VMware Horizo​​n，特别容易受到利用。Sophos 侦测发现了一波从 1 月份开始锁定 Horizo​​n 伺服器的攻击，这些攻击会向未经修补的伺服器植入一系列后门和加密挖矿程式，以及收集装备信息的指令码。Sophos 认为，部分后门可能是由初始存取代理植入的，因为他们想要持续从远端存取这些有价值的目标，然后将其出售给其他攻击者，例如勒索软体操作者。」
 
Sophos 侦测到使用 Log4Shell 锁定易受攻击 Horizo​​n 伺服器的装载包括：

• 2 个合法的远端监控和管理工具 Atera 代理程式和 Splashtop Streamer，它们很可能被恶意用作后门
• 恶意的 Sliver 后门程式
• 加密挖矿程式 z0Miner、JavaX 挖矿程式、Jin 和 Mimu
• 几个会收集装置和备份信息的 PowerShell 反向命令介面 

Sophos 的分析显示，Sliver 有时会与 Atera 和 PowerShell 分析指令码一起被植入，用于递送 XMrig Monero 挖矿僵尸网路的 Jin 和 Mimu 变种。
 
据 Sophos 指出，攻击者正在使用几种不同的方法感染目标。虽然早期一些攻击使用 Cobalt Strike 来暂存和执行加密挖矿程式的装载，但从 2022 年 1 月中旬开始的最大一波攻击，则是直接从 VMware Horizo​​n 伺服器的 Apache Tomcat 元件执行加密挖矿程式的安装程序指令码。这波攻击仍在持续中。
 
Gallagher 表示：「Sophos 的调查结果表明，多个攻击者正在进行这些攻击，因此最重要的保护步骤是使用已修补 Log4J 版本的软体升级所有的装置和应用程式。包括 VMWare Horizo​​n 的已修补版本，如果组织有在网路中使用这个应用程式的话。

「Log4J 被广为安装在数百个软体产品中，而且许多组织可能没有意识到这个潜伏在基础架构中的漏洞，尤其是商用、开放原始码或缺乏一般安全支援的自订软体。虽然修补很重要，但如果攻击者已经能够在网路中安装网页命令介面或后门，那么这些保护还不够。进行深度防御，并在发现挖矿程式和其他异常活动时采取行动，对于避免成为攻击受害者非常重要。」

原文连结：https://www.informationsecurity.com.tw/article/article_detail.aspx?aid=9790