Conti стала первой «топовой» киберпреступной группировкой, начавшей эксплуатировать эту уязвимость.
https://www.securitylab.ru/upload/ib...3ec0604b39.png
Операторы вымогательского ПО Conti стали использовать в своих атаках недавно раскрытую уязвимость Log4Shell. С ее помощью они получают быстрый доступ к внутренним установкам VMware vCenter Server, после чего шифруют виртуальные машины с целью получения выкупа. Таким образом, Conti стала первой «топовой» киберпреступной группировкой, вооружившейся этой уязвимостью.
PoC-эксплоит для уязвимости удаленного выполнения кода в утилите журналирования Log4j ( CVE-2021-44228 ) был опубликован 9 декабря 2021 года, и уже на следующий день начались массовые сканирования интернета на предмет подключенных уязвимых систем. Первыми Log4Shell стали эксплуатировать майнеры криптовалюты, ботнеты и новое семейство вымогательского ПО Khonsari . К 14 декабря список киберпреступников, добавивших Log4Shell в свой арсенал, пополнился APT-группами, работающими на правительство Китая.
Conti, являющаяся одной из крупнейших и влиятельнейших кибервымогательских группировок и насчитывающая десятки активных постоянных участников, обратила свое внимание на Log4Shell 12 декабря. По данным компании Advanced Intelligence (AdvIntel ), целью Conti является боковое перемещение к сетям VMware vCenter.
Поскольку Log4j является очень популярной библиотекой, уязвимость Log4Shell затрагивает продукты десятков производителей, в том числе VMware – проблема затрагивает 40 ее продуктов. Хотя компания выпустила исправления для некоторых из них, патч для vCenter все еще не доступен.
Серверы vCenter как правило не подключаются к открытому интернету, однако злоумышленники могут прибегнуть к некоторым способам и атаковать их через Log4Shell для получения полного контроля над атакуемой системой и/или вызова отказа в обслуживании.
По данным AdvIntel, в атаках через Log4Shell группировка Conti использует публично доступный эксплоит.