安全研究人员发现利用 Log4j 漏洞的第二个勒索软件家族
安全研究人员观察到名为 TellYouThePass 的勒索软件家族尝试利用最近发现的 Log4j 高危漏洞。TellYouThePass 勒索软件家族被认为年代比较悠久且基本不活跃,在广泛使用的 Log4j 日志框架发现漏洞之后,该勒索软件家族再次活跃。研究人员表示,继 Khonsari 勒索软件之后,TellYouThePass 成为第二个被观察到利用 Log4j 漏洞(被称为Log4Shell)的勒索软件家族。
虽然之前的报道表明 TellYouThePass 主要针对中国目标,但安全公司 Sophos 的研究人员表示,他们观察到 TellYouThePass 勒索软件在中国境内和境外(包括美国和欧洲)的传播企图。Sophos Labs 的高级威胁研究员 Sean Gallagher 表示:“中国的系统以及托管在美国和欧洲多个站点的亚马逊和 Google 云服务系统都成为目标。”Gallagher 表示,Sophos 在 12 月 17 日和 12 月 18 日检测到利用 Log4j 漏洞传播 TellYouThePass 负荷的企图。Sophos 威胁研究员 Andrew Brandt 表示,TellYouThePass 有在 Linux 或 Windows 上运行的版本,“有利用EternalBlue 等知名漏洞的历史。”Brandt 表示,Linux版本能窃取 Secure Socket Shell(SSH) 密钥并能执行横向移动。Sophos 在 12月 20 日的博文中披露它检测到 TellYouThePass 勒索软件。
TellYouThePass 勒索软件利用 Log4j 漏洞的第一份报告来自中国网络安全组织 KnownSec404 团队的负责人,时间是 12 月 12 日。研究人员社区 Curated Intelligence表 示,随后其他研究人员证实 TellYouThePass 与 Log4Shell 一同部署的企图。在周二的一篇博文中,Curated Intelligence 表示其成员现在确认 TellYouThePass 被发现利用这个漏洞(未经修复)“针对 Windows 和 Linux 系统。”Curated Intelligence表 示,TellYouThePass 最近一次被观察到是在 2020 年 7 月。
