Peretas yang disponsori negara dari China, Iran, Korea Utara dan Turki telah mulai menguji, mengeksploitasi, dan menggunakan bug Log4j untuk menyebarkan malware, termasuk ransomware, menurut Microsoft.
Artkel ini salinan dari Log4j flaw: Now state-backed hackers are using bug as part of attacks, warns Microsoft | ZDNet
Seperti yang diprediksi oleh para pejabat di Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA),penyerang yang lebih canggih kini mulai mengeksploitasi apa yang disebut bug Log4Shell (CVE-2021-44228), yang mempengaruhi perangkat dan aplikasi yang menjalankan versi rentan dari perpustakaan Java Log4j. Ini adalah cacat kuat yang memungkinkan penyerang jarak jauh untuk mengambil alih perangkat setelah kompromi.
Pejabat CISA pada hari Selasa memperingatkan bahwa ratusan juta perangkat perusahaan dan konsumen berisiko sampai bug ditambal.
Sebagian besar serangan yang diamati Microsoft sejauh ini terkait dengan pemindaian massal oleh penyerang yang mencoba mencetak jempol sistem yang rentan, serta pemindaian oleh perusahaan keamanan dan peneliti.
“Sebagian besar aktivitas yang diamati telah memindai, tetapi kegiatan eksploitasi dan pasca-eksploitasi juga telah diamati. Berdasarkan sifat kerentanan, setelah penyerang memiliki akses penuh dan kontrol aplikasi, mereka dapat melakukan segudang tujuan. Microsoft telah mengamati kegiatan termasuk menginstal penambang koin, Cobalt Strike untuk memungkinkan pencurian kredensial dan gerakan lateral, dan exfiltrating data dari sistem yang dikompromikan,” kata Microsoft.
Kemudahan eksploitasi dan distribusi yang luas dalam produk menjadikannya target yang menarik bagi penyerang kriminal dan yang disponsori negara yang canggih.
Kelompok terakhir inilah yang sekarang mulai mengeksploitasi cacat.
“Kegiatan ini berkisar dari eksperimen selama pengembangan, integrasi kerentanan hingga penyebaran muatan di alam liar, dan eksploitasi terhadap target untuk mencapai tujuan aktor,” kata Microsoft.
Microsoft telah mengalihkan sorotan pada kelompok peretas Iran yang dilacaknya sebagai Fosfor, yang baru-baru ini meningkatkan penggunaan alat enkripsi file untuk menyebarkan ransomware pada target. Kelompok ini telah memperoleh dan memodifikasi eksploitasi Log4j untuk digunakan, menurut Microsoft Threat Intelligence Center (MSTIC).
“Kami menilai bahwa Fosfor telah mengoperasionalkan modifikasi ini,” catatan MSTIC.
Hafnium, kelompok peretasan yang didukung Beijing di balik kelemahan Exchange Server tahun ini,juga telah menggunakan Log4Shell untuk “menargetkan infrastruktur virtualisasi untuk memperluas penargetan khas mereka.”
Microsoft melihat sistem yang digunakan oleh Hafnium menggunakan layanan Domain Name Server (DNS) untuk sistem sidik jari.
Bug Log4Shell diungkapkan oleh Apache Software Foundation pada tanggal 9 Desember. CERT Selandia Baru melaporkan bug itu secara aktif dieksploitasi. Apache merilis patch minggu lalu. Namun, vendor termasuk Cisco, IBM, Oracle, VMware dan lain-lain masih perlu mengintegrasikan patch ke dalam produk mereka sendiri yang terkena dampak sebelum pelanggan dapat menyebarkannya.
MSTIC dan tim Microsoft 365 Defender juga mengkonfirmasi bahwa “broker akses” ā geng yang menjual atau menyewa akses ke mesin yang dikompromikan ā telah menggunakan cacat Log4j untuk mendapatkan pijakan dalam jaringan target pada sistem Linux dan Windows. Akses semacam ini sering dijual ke geng ransomware yang mencari korban; Perusahaan keamanan BitDefender melaporkan bahwa strain ransomware baru yang disebut Khonsari sudah berusaha untuk mengeksploitasi bug Log4j.
CISA kemarin menerbitkan daftarnya di GitHub tentang produk yang terkena dampak cacat Log4Shell, menyusul daftar serupa oleh badan cybersecurity Belanda (NCSC) yang diterbitkan awal pekan ini. CISA mencantumkan vendor, produk, versi, status kerentanan, dan apakah pembaruan tersedia.
Daftar AS akan menjadi alat yang berguna bagi organisasi karena mereka menambal perangkat yang terkena dampak, khususnya agen federal AS yang diperintahkan oleh CISA, sebuah unit dari Departemen Keamanan Dalam Negeri, kemarin untuk menguji aplikasi internal dan server mana yang rentan terhadap bug pada 24 Desember.
Pelanggan Cisco akan sibuk selama beberapa minggu ke depan karena meluncurkan tambalan. Hanya melihat, misalnya, daftar produk Cisco yang terkena dampak menyoroti pekerjaan ke depan untuk tim agensi yang harus menyebutkan sistem yang terkena dampak menjelang liburan Natal. Daftar CISA juga mencakup beragam alat perangkat lunak virtualisasi VMware yang terpengaruh, yang sebagian besar belum memiliki patch yang tersedia.
Puluhan perangkat lunak dan produk jaringan Cisco terpengaruh. Cisco merilis patch untuk Webex Meetings Server kemarin. Cisco CX Cloud Agent Software juga mendapat patch.
Produk Cisco lain yang terkena dampak tanpa patch termasuk Cisco AMP Virtual Private Cloud Appliance, Advanced Web Security Reporting Application, Firepower Threat Defense (FTD), dan Cisco Identity Services Engine (ISE). Beberapa produk manajemen dan penyediaan infrastruktur jaringan juga rentan, dengan tambalan dijadwalkan pada 21 Desember dan seterusnya.
