• 设为首页
  • 收藏本站
  • 积分充值
  • VIP赞助
  • 手机版
  • 微博
  • 微信
    微信公众号 添加方式:
    1:搜索微信号(888888
    2:扫描左侧二维码
  • 快捷导航
    福建二哥 门户 查看主题

    新的勒索软件正被部署在 Log4Shell 攻击中

    发布者: 山止川行 | 发布时间: 2025-7-26 14:48| 查看数: 117| 评论数: 0|帖子模式


            据 bleepingcomputer 消息,上周五,基于Java日志平台的 "Log4Shell "漏洞公开利用程序被发布。Log4j是一个开发框架,允许开发人员在他们的Java应用程序中添加错误及事件日志。
            该漏洞允许威胁者创建特殊的 JNDI 字符串,当 Log4j 读取这些字符串时,会导致平台连接到 URL 并在其中执行代码。这使得攻击者可以很容易地检测到易受攻击的设备,继而执行由远程站点或通过Base64 编码字符串提供的代码。
            虽然这个漏洞在Log4j 2.15.0版本中得到修复,甚至在Log4j 2.16.0中进一步收紧,但它正被威胁者广泛利用来安装各种恶意软件,包括比特币矿工、僵尸网络,Cobalt Strike信标等。
            首次利用Log4j安装勒索软件
            12月13日,BitDefender报告称,他们发现首个勒索软件家族是通过 Log4Shell 漏洞直接安装的。
            该漏洞利用程序从hxxp://3.145.115[.]94/Main.class 下载一个 Java 类,由 Log4j 应用程序加载和执行。一旦加载,它将从同一服务器下载一个.NET二进制文件,以安装新的勒索软件“Khonsari”。这个名字也被用作加密文件的扩展名和勒索信,如下所示。
           

            Khonsari 赎金票据(来源:BleepingComputer)
            在后来的攻击中,BitDefender 注意到,该威胁攻击者使用相同的服务器来分发 Orcus 远程访问木马。
            可能是一个“擦边球”

            勒索软件专家 Michael Gillespie 分析称,Khonsari 使用了有效的加密并且是安全的,这意味着不可能免费恢复文件。然而,奇怪的是,赎金票据并未署明向谁支付赎金。
            Emsisoft 分析师Brett Callow指出,该勒索软件是以路易斯安那州一家古董店老板的名字命名的,并使用了该老板的联系信息,而不是威胁者。因此,尚不清楚此人是勒索软件攻击的实际受害者还是被列为的“诱饵”。
            不管是什么原因,由于它不包含威胁者的具体联系方式,我们认为这是一个“擦边球”而不是勒索软件。
            但是,基于微软已经观察到用于部署 Cobalt Strike 信标的漏洞,因此,更高级的勒索软件操作可能已经在使用该漏洞作为其攻击的一部分。
            参考来源:
            https://www.bleepingcomputer.com/news/security/new-ransomware-now-being-deployed-in-log4shell-attacks/
            原文链接:https://www.freebuf.com/vuls/312153.html

    来源:互联网
    免责声明:如果侵犯了您的权益,请联系站长(1277306191@qq.com),我们会及时删除侵权内容,谢谢合作!

    本帖子中包含更多资源

    您需要 登录 才可以下载或查看,没有账号?立即注册

    ×

    最新评论

    QQ Archiver 手机版 小黑屋 福建二哥 ( 闽ICP备2022004717号|闽公网安备35052402000345号 )

    Powered by Discuz! X3.5 © 2001-2023

    快速回复 返回顶部 返回列表