Il team unificato di threat intelligence di Microsoft – che comprende il Threat Intelligence Center (MSTIC), il Microsoft 365 Defender Threat Intelligence Team, RiskIQ e il Detection and Response Team (DART), tra gli altri –, ha monitorato da vicino le minacce che sfruttano CVE-2021-44228, la vulnerabilità di remote code execution (RCE) in Apache Log4j 2 denominata Log4Shell.
Questa falla di sicurezza permette l’esecuzione non autenticata di codice remoto e viene innescata quando una stringa appositamente elaborata fornita dal cyber-attacker viene analizzata ed elaborata dal componente vulnerabile di Log4j 2.
Microsoft fornisce informazioni dettagliate, sia tecniche sulle caratteristiche che di mitigazione della vulnerabilità, che è consigliabile consultare, sul blog del Security Response Center.
Inoltre, la società di Redmond ha condiviso le ultime scoperte effettuate dai suoi team di sicurezza riguardanti attacchi tuttora in corso che sfruttano la vulnerabilità di Log4j.
Innanzitutto, l’exploit continua sui server Minecraft non ospitati da Microsoft. Per questo Microsoft incoraggia i clienti di Minecraft che gestiscono i propri server ad applicare l’ultimo aggiornamento del server Minecraft il più presto possibile per proteggere i loro utenti.
Microsoft ha anche confermato i report pubblici sulla famiglia di ransomware Khonsari distribuiti come payload post-exploitation, come messo in evidenza da Bitdefender.
Il Microsoft Threat Intelligence Center ha poi affermato che la vulnerabilità CVE-2021-44228 di Log4j viene utilizzata da più gruppi legati a Stati nazionali, tracciati come provenienti da Cina, Iran, Corea del Nord e Turchia.
Ad esempio, Microsoft ha osservato Phosphorus, un player iraniano che ha distribuito ransomware acquisendo e apportando modifiche all’exploit Log4j.
Inoltre, Hafnium, un gruppo che opera dalla Cina, è stato osservato utilizzare la vulnerabilità per attaccare le infrastrutture di virtualizzazione ed estendere il target.
I team di Threat Intelligence Center e Microsoft 365 Defender hanno anche confermato che più gruppi di attività tracciate che agiscono come broker di accesso hanno iniziato a utilizzare la vulnerabilità di Log4j per ottenere l’accesso iniziale alle reti di destinazione.
Questi access broker poi vendono l’accesso a queste reti agli affiliati del ransomware-as-a-service.
Microsoft ha messo in evidenza che questi gruppi tentano l’exploit sia su sistemi Linux che Windows, il che potrebbe portare ad un aumento dell’impatto del ransomware human-operated su entrambi questi sistemi operativi.