Tặng bộ plugin WordPress bản quyền trị giá $900 Nhận ngay
Bảo mật

Các hacker Log4j chuyển sang khai thác tiền điện tử Monero

author Đặng Hoài Đức - 2021-12-17 09:14:15 (GMT+7)

Các hacker khai thác lỗ hổng Apache Log4j đã chuyển từ giao thức LDAP sang giao thức RMI, hoặc thậm chí sử dụng cả hai để có tỷ lệ thành công tuyệt đối khi tấn công khai thác lỗ hổng.

Xu hướng này đã được các hacker sử dụng để chiếm đoạt tài nguyên máy chủ bị và triển khai đào tiền điện tử Monero.

Chuyển từ giao thức LDAP sang RMI

Các cuộc tấn công nhắm vào lỗ hổng Log4j "Log4Shell" đều thông qua giao thức LDAP (Lightweight Directory Access Protocol), vì vậy việc hacker chuyển đổi sang giao thức RMI (Remote Method Invocation) là một điều khá bất ngờ. Vì cơ chế của giao thức RMI phải chịu các kiểm tra và một số ràng buộc bổ sung. Nhưng không phải lúc nào cũng vậy, thực tế vẫn có thể khai thác qua giao thức RMI.

Một số phiên bản máy ảo Java sử dụng giao thức RMI không có chính sách bảo vệ nghiêm ngặt, và điều này khiến RMI là một kênh dễ dàng để hacker thực thi lệnh từ xa (RCE) trên các máy chủ bị xâm phạm hơn giao thức LDAP. 

Một request HTTP với User-Agent là nội dung khai thác lỗ hổng Log4J.

Trong một số trường hợp, nội dung tấn công có cả giao thức RMI và LDAP trong cùng một request HTTP ở phương thức POST.

Hacker sử dụng tài nguyên máy chủ để khai thác tiền điện tử Monero

Tìm thấy thông báo Actor trong tập lệnh shell đã tải xuống

Juniper Labs cho biết các hacker tập trung đến việc khai thác tiền điện tử Monero trên các máy chủ bị xâm nhập, đặc biệt là các hệ thống Linux x84_64. Đồng thời các script tấn công còn được thêm vào hệ thống cron của Linux để tăng khả năng tồn tại và thực thi lâu dài trên máy chủ.

Không chỉ nhắm vào hệ thống Linux, nhưng các nhà nghiên cứu CheckPoint còn phát hiện một tệp thực thi Win32 đầu tiên khai thác lỗ hổng Log4Shell có tên gọi là StealthLoader, nhắm vào các hệ thống máy chủ Windows.

Chia sẻ bài viết này
Nhận tin nóng liên quan đến Bảo mật bằng cách
Subscribe Kênh Telegram Tin công nghệ

Bài viết liên quan

BẢO MẬT
Tổng hợp các lỗ hổng bảo mật nguy hiểm được phát hiện trong năm 2021
author Đặng Hoài Đức 31 Tháng mười hai, 2021

BẢO MẬT
Hacker sử dụng rootkit HP iLO để xóa dữ liệu các máy chủ
author Đặng Hoài Đức 30 Tháng mười hai, 2021

BẢO MẬT
Hacker đánh cắp thông tin đăng nhập Microsoft Exchange bằng module máy chủ web IIS
author Đặng Hoài Đức 16 Tháng mười hai, 2021

tin.123host.vnTin tức SysAdmin

Nơi cập nhật tin tức mới nhất dành cho SysAdmin.

Xem thêm