Sophos發布攻擊者如何利用Log4Shell漏洞，在未修補的VMware Horizon伺服器，植入後門和分析指令碼的調查結果，這些手法將為日後持續存取和勒索軟體攻擊打下基礎。

最新的技術文章《大量挖礦機器人和後門利用Log4J攻擊VMware Horizon伺服器》，詳細介紹被用於入侵伺服器和植入3個不同的後門和4個加密挖礦程式的工具和手法。這些後門可能是由初始存取代理（IAB）植入的。

Log4Shell是Java日誌元件Apache Log4J中的一個遠端程式碼執行漏洞，被廣為使用在數百個軟體產品中。它於2021年12月被發現並進行修補。

Sophos資深安全研究員Sean Gallagher表示：「廣為使用的應用程式，例如面對網際網路且需要手動更新的VMware Horizon，特別容易受到利用。Sophos偵測發現了一波從1月份開始鎖定Horizon伺服器的攻擊，這些攻擊會向未經修補的伺服器植入一系列後門和加密挖礦程式，以及收集裝備資訊的指令碼。Sophos認為，部分後門可能是由初始存取代理植入的，因為他們想要持續從遠端存取這些有價值的目標，然後將其出售給其他攻擊者，例如勒索軟體操作者。」

Sophos偵測到使用Log4Shell鎖定易受攻擊Horizon伺服器的裝載，包括2個合法的遠端監控和管理工具Atera代理程式和Splashtop Streamer，它們很可能被惡意用作後門；惡意的Sliver後門程式；加密挖礦程式z0Miner、JavaX挖礦程式、Jin和Mimu；幾個會收集裝置和備份資訊的PowerShell反向命令介面。

根據Sophos分析顯示，Sliver有時會與Atera和PowerShell分析指令碼一起被植入，用於遞送XMrig Monero挖礦殭屍網路的Jin和Mimu變種。

根據Sophos指出，攻擊者正在使用幾種不同的方法感染目標。雖然早期一些攻擊使用Cobalt Strike來暫存和執行加密挖礦程式的裝載，但從2022年1月中旬開始的最大一波攻擊，則是直接從VMware Horizon伺服器的Apache Tomcat元件執行加密挖礦程式的安裝程序指令碼。這波攻擊仍在持續中。

Gallagher表示：「Sophos的調查結果表明，多個攻擊者正在進行這些攻擊，因此最重要的保護步驟是使用已修補Log4J版本的軟體升級所有的裝置和應用程式。包括VMWare Horizon的已修補版本，如果組織有在網路中使用這個應用程式的話。Log4J被廣為安裝在數百個軟體產品中，而且許多組織可能沒有意識到這個潛伏在基礎架構中的漏洞，尤其是商用、開放原始碼或缺乏一般安全支援的自訂軟體。雖然修補很重要，但如果攻擊者已經能夠在網路中安裝網頁命令介面或後門，那麼這些保護還不夠。進行深度防禦，並在發現挖礦程式和其他異常活動時採取行動，對於避免成為攻擊受害者非常重要。」