Хакеры используют вариант эксплоита Log4j RMI, загружая и выполняя класс Java с удаленного сервера.
https://www.securitylab.ru/upload/ib...7a076530dc.png
Киберпреступники начали использовать критическую уязвимость удаленного выполнения кода Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для заражения уязвимых устройств банковским трояном Dridex или оболочкой Meterpreter.
По словам исследователей в области кибербезопасности из Cryptolaemus, уязвимость Log4Shell теперь эксплуатируется с целью заражения устройств под управлением Windows трояном Dridex и устройств под управлением Linux с помощью оболочки Meterpreter. Злоумышленники используют вариант эксплоита Log4j RMI (Remote Method Invocation), заставляя уязвимые устройства загружать и выполнять класс Java с удаленного сервера, управляемого хакерами.
После запуска класс Java сначала попытается загрузить и запустить HTA-файл с разных URL-адресов, который установит троян Dridex. Если класс Java не может выполнить команды Windows, значит устройство работает под управлением Linux/Unix, и в таком случае начнется загрузка и выполнение Python-скрипта для установки Meterpreter.
Запуск Meterpreter в системе Linux предоставит злоумышленникам удаленную оболочку, позволяющую устанавливать дополнительные полезные нагрузки, перемещаться по сети жертвы, похищать данные или выполнять команды.
На устройствах под управлением Windows класс Java загружает HTA-файл, открывает его и создает файл VBS в папке C:\ProgramData. VBS-файл выполняет роль основного загрузчика для Dridex и ранее уже использовался в других кампаниях по распространению вредоноса.
Как предупредили эксперты, другие операторы вредоносов вскоре также начнут использовать эту уязвимость для компрометации серверов и внутренних корпоративных сетей. Поэтому всем организациям настоятельно рекомендуется просканировать свои сети на предмет уязвимых приложений, использующих Log4j, и обновить их до последних версий.