被美國政府認為將持續造成隱憂的Log4j漏洞,近日又成為新一波攻擊的跳板。安全廠商發現,利用本漏洞的攻擊者濫用微軟Defender相關工具,在受害伺服器內植入LockBit 3.0勒索軟體。

SentinelOne近日偵測到LockBit 3.0的攻擊,駭客利用VMWare Horizon Server上的Log4j漏洞,進入受害者網路內,得以利用PowerShell發動離地攻擊(Living-Off-the-Land),利用Microsoft Defender的指令行工具側載入惡意程式Cobalt Strike beacon,最後植入勒索軟體。

側載Cobalt Strike是LockBit 3.0的慣常手法,之前研究人員也發現攻擊者濫用VMwareXferlogs.exe作為離地攻擊工具。此類手法最大目的在於可躲過端點防護或防毒產品的偵測。

攻擊者一旦修改VMware Horizon Server的Blast Secure Gateway元件而進入受害者內部網路,隨即展開偵察(reconnaissance)過程,利用PowerShell執行一系列列舉指令,將偵察結果送到外部IP。而獲得必要的權限後,攻擊者就開始從外部IP下載多個酬載(payloads)。值得注意的是,攻擊者利用合法的Windows / Microsoft Defender指令行工具,以其下載惡意DLL檔及加密Cobalt Strike酬載,最後以MpCmdRun.exe將Cobalt Strike beacon解密釋放出來。

LockBit 3.0是近來十分活躍的勒索軟體。另一家安全廠商趨勢科技發現其背後運作組織和Black Matter勒索軟體可能有關聯。

這事件再度突顯,Log4j開採風險難以根絕。美國政府近日發布報告,指Log4j廣泛用於許多軟體但用戶可能不知道,使得Log4j漏洞攻擊的風險可能將持續10年,變成資安上的「地方流行病」。


熱門新聞

Advertisement