Nell’ultimo Cloud Threat Report di Lacework è stato rivelato che la famosa vulnerabilità Log4Shell è stata usata come vettore iniziale di infezione da malware nel 31% dei casi monitorati dall’azienda nel corso degli ultimi sei mesi. Ricordiamo che il bug era stato scoperto lo scorso dicembre all’interno della libreria Log4j, usata da moltissime applicazioni e servizi online. Dato che i sistemi di log vengono usati da praticamente qualsiasi sistema di sicurezza di rete (e non solo), in modo da poter visionare dei report in caso di errori o problemi, la vulnerabilità Log4Shell ha avuto un impatto davvero importante.

Lacework Labs, come riportato dai colleghi di Infosecurity-magazine, ha spiegato:

Nel corso del tempo, abbiamo visto l’attività di scansione evolversi in attacchi più frequenti, compresi alcuni che hanno distribuito crypto-miner e bot DDoS (Distributed Denial of Service) ai sistemi interessati. Oltre a migliorare i loro payloads, i malintenzionati hanno continuato a adattare i loro metodi di sfruttamento per essere un passo avanti ai rilevamenti basati sulla firma utilizzati da molti tipi di prodotti di sicurezza.

Oltre a Log4j, diversi gruppi di hacker hanno usato anche una backdoor nel package NPM ua-parser-js per ottenere l’accesso ai sistemi Linux e lanciare il miner open-source XMRig. A quanto pare, NPM è stato usato anche per altri scopi, tanto che alcuni gruppi hanno semplificato il processo per distribuire più facilmente malware attraverso questo metodo. In particolare, Lacework Labs ha affermato al riguardo:

Gli aggressori hanno completamente automatizzato il processo di creazione di account NPM e hanno aperto account dedicati, uno per package, rendendo i loro nuovi package malevoli molto più difficili da individuare. Al momento della scrittura, il responsabile della minaccia ‘RED-LILI’ è ancora attivo e continua a distribuire package dannosi.