微软警告称，利用Apache Log4j漏洞的攻击仍在继续

微软警告称，民族国家的对手和商品攻击者继续试图利用Log4j开源日志框架中发现的安全漏洞，在易受攻击的系统上部署恶意软件。

微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）在本周早些时候发布的修订指南中表示：“在12月的最后几周，攻击企图和测试仍然居高不下。”。“我们观察到许多现有攻击者在其现有的恶意软件包和策略中添加了利用这些漏洞的攻击，从投币矿工到手动键盘攻击。”

2021年12月10日，Apache软件基金会公开披露，Apache Log4J 2（AKA Log4S壳）中的远程代码执行（RCE）漏洞已经成为一种新的攻击向量，用于各种威胁行为者的广泛开发。

在接下来的几周里，这家公司又暴露出四个弱点—；CVE-2021-45046、CVE-2021-45105、CVE-2021-4104和CVE-2021-44832—；为机会主义的不良行为者提供对受损机器的持续控制，并发起一系列不断演变的攻击，从加密货币矿工到勒索软件。

尽管大规模扫描尝试没有停止的迹象，但仍在努力通过混淆恶意HTTP请求来规避字符串匹配检测，这些请求是为了使用Log4j生成web请求日志而精心安排的，Log4j利用JNDI向攻击者控制的站点执行请求。

此外，微软表示，它观察到“Mirai等现有僵尸网络、之前针对易受攻击的Elasticsearch系统部署加密货币矿工的现有活动，以及将海啸后门部署到Linux系统的活动，都迅速吸收了该漏洞。”

除此之外，Log4Shell漏洞还被用于删除额外的远程访问工具包和反转Shell，如MeterMeter、Bladabindi（又名NjRAT）和HabitsRAT。

MSTIC指出：“在这个关头，客户应该认为广泛可用的漏洞代码和扫描功能对他们的环境来说是一个真正的、现实的危险。”。“由于许多软件和服务受到影响，并且更新速度很快，因此预计这将是一个漫长的补救过程，需要持续、持续的警惕。”

与此同时，美国联邦贸易委员会（FTC）发出警告，表示“打算利用其全部法律权限，追查那些未能采取合理措施保护消费者数据免受Log4j或未来类似已知漏洞影响的公司。”