Log4j Zafiyeti Bankacılık Zararlı Yazılımlarını Yüklemek İçin Kullanılıyor
Saldırganlar, kötü amaçlı Dridex bankacılık truva atı veya Meterpreter ile savunmasız cihazlara bulaşmak için Log4Shell adlı kritik Apache Log4j güvenlik açığından yararlanıyor.
Dridex kötü amaçlı yazılımı, başlangıçta kurbanlardan çevrimiçi bankacılık kimlik bilgilerini çalmak için geliştirilmiş bir bankacılık truva atıydı. Ancak zamanla, kötü amaçlı yazılım, ek yüklemeler, diğer cihazlara yayılmak, ekran görüntüsü almak ve daha fazlası gibi farklı kötü niyetli davranışları gerçekleştirmek için kullanılabilecek çeşitli modülleri indiren bir yükleyici haline geldi.
Log4j, Dridex ve Meterpreter’ı kurmak için kullanıldı
Siber güvenlik araştırma grubu Cryptolaemus, Log4j güvenlik açığının artık Windows cihazlarına Dridex Trojan ve Linux cihazlarına Meterpreter bulaştırmak için kullanıldığı konusunda uyardı.
Araştırmacılar, saldırganlar savunmasız cihazları uzak sunucudan bir Java sınıfı yüklemeye ve yürütmeye zorlamak için Log4j RMI (Uzaktan Yöntem Çağırma) istismar varyantını kullandığını söyledi.
Çalıştırıldığında, Java sınıfı önce Dridex truva atını yükleyecek olan çeşitli URL’lerden bir HTA dosyası indirip başlatmayı dener. Windows komutlarını yürütemezse, aygıtın Linux/Unix çalıştırdığını varsayar ve Meterpreter’i yüklemek için bir Python betiği indirip yürütür. Meterpreter’i bir Linux’daçalıştırmak, saldırganlara daha fazla zararlı dağıtmak veya komutları yürütmek için kullanabilecekleri uzak bir shell sağlayacaktır.
Windows’ta Java sınıfı bir HTA dosyası indirecek ve açacaktır, bu da C:\ProgramData klasöründe bir VBS dosyasının oluşturulmasına neden olacaktır. Bu VBS dosyası, Dridex için ana indirici görevi görür.
Yürütüldüğünde, VBS dosyası, çeşitli ortam değişkenlerini kontrol ederek kullanıcının bir Windows etki alanının parçası olup olmadığını kontrol edecektir. Kullanıcı bir etki alanının parçasıysa, VBS dosyası Dridex DLL dosyasını indirecek ve aşağıda gösterildiği gibi Rundll32.exe kullanarak yürütecektir.
Daha önce de belirtildiği gibi, orijinal Java sınıfı istismarı Windows komutlarını başlatamazsa, işletim sisteminin bir Unix/Linux cihazı olduğunu varsayar ve bunun yerine bir ‘m.py’ python betiği indirir.
Yukarıdaki komut dosyası, saldırganlara reverse shell sağlayan bir pentesting aracı olan Meterpreter’i yüklemek için yürütülecek bir base64 kodlu komut dosyası içerir.
Saldırganlar Meterpreter’i zafiyet içeren Linux sunucusuna bağlanabilir ve ağa daha fazla yayılmak, verileri çalmak veya fidye yazılımı dağıtmak için uzaktan komutlar yürütebilir. Bu istismara Log4j’nin DDoS güvenlik açığını gidermek için bu Cumartesi yayınlanan en son sürüm olan 2.17 sürümüne güncellenmesi de dahildir.
Kaynak: bleepingcomputer.com