Infoblox a pu observer le lancement de nouvelles campagnes d’attaque très peu de temps après la divulgation de la vulnérabilité critique Log4j (CVE-2021-44228), véritable aubaine pour les cyber attaquants qui se sont empressés de lancer ces campagnes.

Souvent, ces attaquants utilisent des outils de test de vulnérabilité pour localiser leurs victimes, et transmettent des logiciels malveillants lorsqu’une victime se connecte à un domaine ou à une adresse IP qu’ils contrôlent. Le type de malware varie considérablement. Nous avons observé que des requêtes DNS invalides sont souvent déclenchées au cours du processus. Ces requêtes DNS contiennent non seulement des caractères spéciaux nécessaires pour exploiter le système distant mais également, souvent, le nom de domaine ou l’adresse IP de l’infrastructure utilisée par l’attaquant. Les requêtes DNS effectuées dans le cadre des tests de vulnérabilité menés par le cyber attaquant peuvent contenir des informations sur le réseau analysé ainsi que sur l’outil utilisé pour ces tests. Bien que ces requêtes DNS ne résolvent pas et ne créent pas de tunnel de communication avec l’infrastructure de l’attaquant, elles peuvent indiquer une attaque en cours. En particulier, les requêtes DNS qui contiennent la sous-chaîne « $jndi » sont corrélées avec l’exploitation de la vulnérabilité. Dans les jours qui ont suivi le 9 décembre, nous avons vu de nombreuses variantes, dont beaucoup tentent de dissimuler le terme « indi » dans l’attaque. En examinant les journaux de ces requêtes DNS, nous avons découvert l’analyse des vulnérabilités, les tentatives d’exploit et les compromissions réussies.