CISA和美国海岸警卫队警告外界当心Log4Shell攻击

政府机构表示，该漏洞正被一系列的威胁者，包括国家支持的团体，用于攻击。作为这种利用的一部分，可疑的APT行为者在被破坏的系统中植入了加载器恶意软件，其中的嵌入式可执行文件可以实现远程指挥和控制。

在一次被证实的入侵事件中，这些APT行为者能够在网络内横向移动，获得对灾难恢复网络的访问，并收集和渗出敏感数据。在警报中详述的第二起事件中，CISA说它被迫进行了一次现场事件响应活动。在4月下旬开始并持续到5月的攻击中，CISA说它发现该组织已被多个威胁行为者团体所破坏。

据CISA称，其中一个团体自1月起就进入了该组织的网络，甚至可能更早。CISA补充说，它通过利用未打补丁的VMware Horizon服务器中的Log4Shell漏洞获得访问权。到1月30日，其中一个小组开始使用PowerShell脚本，并最终设法横向移动到其他生产环境的主机和服务器。然后，该小组能够使用被入侵的管理员账户来运行一个加载器恶意软件。

"加载器恶意软件似乎是SysInternals LogonSessions、Du或PsPing软件的修改版本。嵌入的可执行文件属于同一个恶意软件家族，在设计和功能上与658_dump_64.exe相似，并向远程操作者提供远程指挥和控制能力。