Kasus publik pertama dari kerentanan Log4j Log4Shell yang digunakan untuk mengunduh dan menginstal ransomware telah ditemukan oleh para peneliti.
Jumat lalu, eksploitasi publik dirilis untuk kerentanan kritis zero-day bernama ‘Log4Shell’ di platform logging berbasis Apache Log4j Java. Log4j adalah kerangka kerja pengembangan yang memungkinkan pengembang untuk menambahkan log event dan error ke dalam aplikasi Java mereka.
Kerentanan ini memungkinkan aktor ancaman untuk membuat string JNDI khusus yang, ketika dibaca oleh Log4j, menyebabkan platform terhubung dan mengeksekusi kode di URL yang disertakan. Ini memungkinkan penyerang untuk dengan mudah mendeteksi perangkat yang rentan atau mengeksekusi kode yang disediakan oleh situs jarak jauh atau melalui string yang disandikan Base64.
Meskipun kerentanan ini telah diperbaiki di Log4j 2.15.0 dan bahkan diperketat lebih lanjut di Log4j 2.16.0, kerentanan ini dimanfaatkan secara luas oleh pelaku ancaman untuk menginstal berbagai malware, termasuk penambang koin, botnet, dan bahkan Cobalt Strike.
Kemarin, BitDefender melaporkan bahwa mereka menemukan keluarga ransomware pertama yang diinstal langsung melalui eksploitasi Log4Shell.
Eksploitasi mengunduh Java class dari hxxp://3.145.115[.]94/Main.class yang dimuat dan dijalankan oleh aplikasi Log4j.
Setelah dimuat, itu akan mengunduh binary .NET dari server yang sama untuk menginstal ransomware baru [VirusTotal] bernama ‘Khonsari.’
Dalam serangan selanjutnya, BitDefender memperhatikan bahwa pelaku ancaman ini menggunakan server yang sama untuk mendistribusikan Trojan Orcus Remote Access.
Selengkapnya: Bleeping Computer
