idNSA.id - Aktor antar negara-bangsa dari China, Iran, Korea Utara, dan Turki berusaha untuk mengeksploitasi kerentanan Log4Shell dalam serangan di publik.
Peneliti Microsoft melaporkan bahwa aktor di berbagai negara dari Cina, Iran, Korea Utara, dan Turki sekarang menyalahgunakan Log4Shell (CVE-2021-44228) di library Log4J dalam kampanye mereka. Beberapa kelompok yang mengeksploitasi kerentanan adalah Hafnium yang terkait dengan China dan Fosfor yang terkait dengan Iran, kelompok pertama menggunakan kelemahan tersebut untuk menyerang infrastruktur virtualisasi, yang terakhir untuk menyebarkan ransomware.
“MSTIC juga telah mengamati kerentanan CVE-2021-44228 yang digunakan oleh beberapa kelompok aktivitas negara-bangsa terlacak yang berasal dari China, Iran, Korea Utara, dan Turki. Kegiatan ini berkisar dari eksperimen selama pengembangan, integrasi kerentanan terhadap penyebaran muatan di publik, dan eksploitasi terhadap target untuk mencapai tujuan actor, membaca Panduan yang diterbitkan oleh Microsoft.
“Misalnya, MSTIC telah mengamati PHOSPHORUS, aktor Iran yang telah menyebarkan ransomware, memperoleh dan membuat modifikasi eksploitasi Log4j. Kami menilai bahwa PHOSPHORUS telah mengoperasionalkan modifikasi ini. Selain itu, HAFNIUM, kelompok pelaku ancaman yang beroperasi di luar China, telah diamati memanfaatkan kerentanan untuk menyerang infrastruktur virtualisasi untuk memperluas penargetan tipikal mereka. Dalam serangan ini, sistem terkait HAFNIUM diamati menggunakan layanan DNS yang biasanya terkait dengan aktivitas pengujian ke sistem sidik jari.”
Pakar Microsoft juga menyatakan bahwa beberapa broker akses telah mulai menggunakan kerentanan Log4Shell untuk mendapatkan akses awal ke jaringan target dan kemudian menjualnya ke afiliasi ransomware-as-a-service.
Sebagian besar lalu lintas yang diamati oleh Microsoft terkait dengan pemindaian massal untuk sistem rentan yang dilakukan oleh aktor ancaman dan peneliti keamanan. Raksasa TI tersebut melaporkan penyerapan cepat kerentanan Log4Shell ke botnet yang ada, termasuk Mirai dan pintu belakang Tsunami yang ditujukan untuk sistem bot Linux dan Windows.
“Microsoft juga terus mengamati aktivitas jahat yang melakukan kebocoran data melalui kerentanan tanpa menjatuhkan muatan. Skenario serangan ini bisa sangat berdampak terhadap perangkat jaringan yang memiliki pemutusan SSL, di mana aktor tersebut dapat membocorkan rahasia dan data.” lanjut Microsoft.
Microsoft juga memperingatkan eksploitasi yang sedang berlangsung pada server Minecraft yang tidak dihosting Microsoft dan mendesak pelanggan Minecraft yang menjalankan server mereka sendiri untuk menyebarkan pembaruan server Minecraft terbaru untuk melindungi pengguna mereka.
Microsoft juga mengkonfirmasi bahwa eksploitasi Log4Shell untuk menyebarkan ransomware Khonsari, seperti yang dibahas oleh Bitdefender baru-baru ini. Microsoft Defender Antivirus mendeteksi sejumlah kecil serangan terkait Khonsari yang diluncurkan dari klien Minecraft yang disusupi yang terhubung ke server Minecraft yang dimodifikasi yang menjalankan versi Log4j 2 yang rentan melalui penggunaan pemuat mod Minecraft pihak ketiga.
“Dalam kasus ini, musuh mengirimkan pesan berbahaya dalam game ke server Minecraft yang rentan, yang mengeksploitasi CVE-2021-44228 untuk mengambil dan mengeksekusi muatan yang dihosting penyerang di server dan klien rentan yang terhubung. Kami mengamati eksploitasi yang mengarah ke file kelas Java berbahaya yang merupakan ransomware Khonsari, yang kemudian dieksekusi dalam konteks javaw.exe untuk menebus perangkat.” menyimpulkan Microsoft.
