Sebut saja itu sebagai “kemacetan” ancaman: Penyerang termasuk aktor negara-bangsa telah menargetkan setengah dari semua jaringan global perusahaan dalam telemetri perusahaan keamanan menggunakan setidaknya 70 keluarga malware yang berbeda — dan dampak dari kerentanan Log4j baru saja dimulai. keyboard di seluruh dunia telah menghabiskan beberapa hari terakhir mengejar serangan yang ditujukan pada bug perpustakaan Java Log4j yang sekarang terkenal, dijuluki Log4Shell (CVE-2021-44228). Catatan tambahan: Log4j diucapkan, “log forge” — meskipun itu diperdebatkan, karena itu juga disebut dalam percakapan sebagai “log-four-jay.” Pilihan dealer di sana.
Pertama ditemukan di antara pemain Minecraft minggu lalu, kerentanan yang baru ditemukan telah membuka peluang besar bagi aktor ancaman untuk membajak server, sebagian besar dengan penambang koin dan botnet, tetapi juga banyak malware lain seperti trojan StealthLoader — dan itu so far.
“Kami telah melihat banyak obrolan di forum Dark Web, termasuk berbagi pemindai, bypass, dan eksploitasi,” Erick Galinkin, peneliti kecerdasan buatan di Rapid7, mengatakan kepada Threatpost. “Pada titik ini, lebih dari 70 kelompok malware yang berbeda telah diidentifikasi oleh kami dan peneliti keamanan lainnya.”
Misalnya, peneliti Bitdefender minggu ini menemukan bahwa pelaku ancaman mencoba mengeksploitasi Log4Shell untuk mengirimkan ransomware baru bernama Khonsari ke mesin Windows.
Check Point research melaporkan Rabu bahwa sejak Jumat lalu, timnya telah mendeteksi 1,8 juta upaya eksploitasi Log4j di hampir setengah dari semua jaringan perusahaan yang mereka lacak.
Aktor ancaman ini bukanlah penghobi berketerampilan rendah. Check Point menambahkan bahwa pada hari Rabu, kelompok peretasan Iran Charming Kitten, juga dikenal sebagai APT 35 dan secara luas diyakini bekerja sebagai aktor negara-bangsa, secara aktif menargetkan tujuh organisasi spesifik Israel di seluruh sektor pemerintah dan bisnis.
“Laporan kami dari 48 jam terakhir membuktikan bahwa baik kelompok peretas kriminal dan aktor negara terlibat dalam eksplorasi kerentanan ini, dan kita semua harus berasumsi lebih banyak lagi operasi aktor tersebut akan terungkap dalam beberapa hari mendatang,” tambah Check Point.
Microsoft sementara itu melaporkan bahwa kelompok negara-bangsa Fosfor (Iran) dan Hafnium (Cina), serta APT yang tidak disebutkan namanya dari Korea Utara dan Turki secara aktif mengeksploitasi Log4Shell (CVE-2021-44228) dalam serangan yang ditargetkan. Hafnium dikenal untuk menargetkan server Exchange dengan ProxyLogon zero-days kembali di bulan Maret, sementara Fosfor menjadi berita utama untuk menargetkan KTT dan konferensi global pada tahun 2020.
“Aktivitas ini berkisar dari eksperimen selama pengembangan, integrasi kerentanan ke alam liar penyebaran muatan dan eksploitasi terhadap target untuk mencapai tujuan aktor, ”kata perusahaan itu dalam sebuah posting.
Apakah Worm Log4j Berikutnya?
Peneliti Greg Linares sementara itu telah melaporkan melihat bukti bahwa worm yang berkembang biak sendiri sedang dikembangkan dan kemungkinan akan muncul dalam satu hari atau kurang.
#Log4J berdasarkan apa yang saya lihat, ada bukti bahwa worm akan dikembangkan untuk ini di 24 hingga 48 jam ke depan.
Menyebarkan sendiri dengan kemampuan untuk mempertahankan server yang dihosting sendiri pada titik akhir yang disusupi.
Selain menyemburkan lalu lintas, menjatuhkan file, ia akan memiliki c2c
— Greg Linares (@Laughing_Mantis) 12 Desember 2021
Ada kesepakatan luas dalam komunitas keamanan siber bahwa dia benar, tetapi banyak ahli tidak berpikir bahwa dampaknya akan seburuk Log4j seperti insiden masa lalu seperti WannaCry atau NotPetya.
“Meskipun mungkin kita bisa melihat worm berkembang untuk menyebar di antara yang rentan Perangkat Log4j, belum ada bukti yang menunjukkan bahwa ini adalah prioritas bagi pelaku ancaman saat ini,” Chris Morgan, analis intelijen ancaman siber senior di Digital Shado ws, kepada Threatpost. “Mengembangkan malware seperti ini membutuhkan banyak waktu dan upaya.”
“Aktivitas ini berbeda dari insiden WannaCry, yang melihat badai sempurna dari kerentanan yang sangat dapat dieksploitasi bertepatan dengan pelanggaran eksploitasi tingkat NSA di EternalBlue,” tambah Morgan .
“Ini masih sangat awal untuk Log4j,” kata Morgan. “Sementara banyak aktor ancaman kemungkinan akan berada pada tahap yang berbeda dari rantai pembunuhan, sebagian besar aktor kemungkinan masih akan memindai sistem yang rentan, mencoba membangun pijakan, dan mengidentifikasi peluang lebih lanjut, tergantung pada motivasi mereka. Upaya di antara aktor pada tahap ini terburu-buru untuk mengeksploitasi sebelum perusahaan memiliki kesempatan untuk menambal, daripada menghabiskan waktu mengembangkan worm.”
Kemunculan worm Log4j bukanlah skenario terburuk, peneliti seperti Yaniv Balmas dari Salt Security menjelaskan to Threatpost.
“Meskipun tidak mengabaikan dampak dari worm semacam itu, itu mungkin bukan skenario terburuk karena kemudahan yang luar biasa bahwa serangan ini dapat diterapkan,” kata Balmas. “Setiap orang dengan komputer dasar dan akses internet dapat meluncurkan serangan terhadap jutaan layanan online dalam hitungan menit. Ini memberikan dampak yang hampir sama dengan worm – ia terdistribusi dan tidak dapat diprediksi, dan tingkat kerusakannya bahkan mungkin lebih tinggi daripada worm karena worm bekerja ‘secara membabi buta’ secara otomatis.”
Dia menambahkan, “dalam skenario lain ini, ada adalah manusia sebenarnya di balik serangan yang dapat menargetkan entitas atau institusi tertentu dan memungkinkan penyerang untuk menyempurnakan serangan mereka saat mereka maju.”
Pekerjaan tak kenal lelah yang dilakukan oleh tim keamanan untuk menambal Log4j terhadap eksploitasi adalah bantuan besar terhadap pengembangan apa pun worm di cakrawala, John Bambenek, pemburu ancaman utama di Netenrich, mengatakan kepada Threatpost.
“Kerentanan ini jelas terlihat wormable, namun, kabar baiknya adalah kami memiliki waktu hampir seminggu untuk mulai menangani deteksi, mitigasi, dan patching,” kata Bambenek. “Akan ada banyak mesin yang rentan di luar sana, tetapi sekarang banyak mesin yang rentan telah ditangani dan lebih banyak lagi yang dilindungi dengan aturan firewall aplikasi web (WAF) (misalnya, Cloudflare menerapkan perlindungan selama akhir pekan). Kasus terburuk adalah worm minggu lalu, kami berada di tempat yang lebih baik sekarang.”
Log4j’s Long Tail
Di luar tindakan penambalan darurat, Galinkin menjelaskan kepada Threatpost bahwa kekhawatirannya adalah pada perangkat dan sistem yang belum ditambal yang tersisa yang akan rentan lama setelah Log4j telah tidak menjadi berita utama, terutama di sektor-sektor seperti akademisi dan perawatan kesehatan.
“Satu hal penting yang perlu diperhatikan tentang kerentanan ini adalah bahwa kerentanan ini akan memiliki ekor yang sangat panjang,” katanya. “Rumah sakit cenderung membeli perangkat lunak sekali, tetapi kadang-kadang vendor menjadi mati — yang mengarah ke perangkat lunak yang tidak didukung yang tidak akan pernah menerima tambalan.”
Dia menambahkan, “di dunia akademis, banyak perangkat lunak ditulis sekali oleh mahasiswa pascasarjana atau profesor, tetapi orang-orang itu mungkin tidak menyadari bug, atau mereka tidak lagi memelihara perangkat lunak — perangkat lunak yang digunakan dalam fisika, farmakologi, dan bioinformatika. Ini menunjukkan bahwa kita akan terus melihat eksploitasi kerentanan ini — berpotensi dalam insiden yang terisolasi — lama di masa depan.”
121621 16:21 UPDATE: Ejaan yang dikoreksi untuk nama John Bambenek.