بازیگران مخرب به لطف آسیبپذیری Log۴Shell آپاچی، خانواده باجافزاری غیرفعال و قدیمی TellYouThePass را احیا کردهاند تا از آن علیه دستگاههای ویندوز و لینوکس استفاده کنند.
منبع : سایبربان
بازیگران مخرب به لطف آسیبپذیری Log4Shell آپاچی، خانواده باجافزاری غیرفعال و قدیمی TellYouThePass را احیا کردهاند تا از آن علیه دستگاههای ویندوز و لینوکس استفاده کنند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، طبق گزارش تیم KnownSec ۴۰۴، بازیگران مخرب، یک خانواده باجافزاری غیرفعال و قدیمی به نام TellYouThePass را احیا کرده اند و آن را در حملات خود علیه دستگاه های ویندوز و لینوکس مورد استفاده قرار می دهند. این باج افزار، باگ های جدی موجود در کتابخانه جاوا log4j آپاچی را هدف قرار میدهد.
این حملات اولین بار روز دوشنبه توسط تیم KnownSec ۴۰۴ گزارش شدند. طبق مشاهدات محققان، باجافزار نامبرده را با استفاده از کدهای مخرب Log۴Shell بر روی سیستمهای قدیمی ویندوز رها میکنند.
این گزارش توسط تیم هوش تهدید Sangfor نیز تایید شد. این تیم با موفقیت توانست نمونهای از باجافزار TellYouThePass که در حملات مورد استفاده قرار داشت را ضبط کند. این نمونه که از کدهای مخرب Log۴Shell بهره مند بود، عمدتا اهداف چینی را تحت تاثیر قرار می داد.
طبق گزارشها، این باج افزار دارای نسخه لینوکسی است که کلیدهای SSH را جمعآوری کرده و به صورت جانبی در شبکههای قربانیان حرکت میکنند.
این اولینبار نیست که باجافزار TellYouThePass با استفاده از آسیبپذیریهای پرخطر، اقدام به حمله میکنند. این خانواده باجافزاری سال گذشته با استفاده از آسیبپذیری های Eternal Blue، چندین واحد سازمانی را هدف قرار داد.
ظاهرا فعالیتهای باجافزار TellYouThePass پس از انتشار کدهای مخرب Log۴Shell به صورت قابل توجهی افزایش یافته است.
TellYouThePass اولین باجافزاری نیست که که در حملات Log۴Shell مورد استفاده قرار میگیرد. از زمانی که مهاجمین شروع به تزریق استخراج کنندههای مونرو بر روی دستگاههای نا ایمن کردند، هکرها بهرهبرداریها و فعالیتهای مخرب خود را استارت زدند.
BitDefender نیز پیش از این، خبر از مشاهده خانواده باجافزاری جدیدی به نام Khonsari در این حملات داده بود که مستقیما توسط کدهای مخرب log۴Shell بر روی دستگاه نصب میشد.
عاملان باجافزار کونتی نیز کدهای مخرب Log۴Shell را به توپخانه خود اضافه کردهاند و با دسترسی به سرورهای VMware vCenter ماشینهای مجازی را رمزنگاری میکنند.