Sophos реєструє сканування вразливостей Log4j по всьому світу та в країнах, з яких походить багато експлойтів: Китаї та Росії. Висновки показують дві теплові карти. Шон Галлахер, старший дослідник загроз у Sophos
«Sophos продовжує відстежувати сканування на наявність уразливостей Log4j. У минулому ми спостерігали великі сплески, а потім різкі падіння таких сканувань і спроб використання. У випадку Log4j ми не спостерігали падіння, а скоріше щоденні сканування та спроби доступу з глобально розподіленої інфраструктури. Ми очікуємо, що такий високий рівень активності продовжуватиметься, оскільки вразливість є багатогранною та потребує масштабного виправлення.
Як уже зазначалося, у деяких випадках запит надходить з IP-адреси в географічному регіоні з вбудованими URL-адресами для Log4j, які підключаються до інших серверів - іноді до кількох різних серверів. І хоча деякі з цих запитів є нешкідливим тестуванням або «дослідженням» тестувальників проникнення та інших дослідників безпеки, більша частина є зловмисними».
«Наприклад, телеметрія Sophos показує, що 59% спроб експлойтів спрямовані на підключення Log4j до інтернет-адрес в Індії. Більше 40% спроб експлойтів намагаються з’єднати Log4j з інтернет-адресами в США». Спроби сканування в Німеччині становлять близько 11% випадків, зареєстрованих SophosLabs у всьому світі, але також включають діяльність компаній безпеки.
«Однак спроби використання походять переважно з Китаю та Росії, причому більшість із цих спроб, ймовірно, пов’язані з кіберзлочинністю. Сервер у Росії, підключений до ботнету для майнінгу криптовалют Kinsing, відповідає за понад 10% спроб експлойтів, зафіксованих Sophos — понад 33% усього трафіку, що надходить із Росії». Що стосується експлойтів, то Німеччина становить 2%.
Sophos також публікує детальну статтю «Logjam: спроби використання Log4j continue у глобально поширених скануваннях, атаках». У ньому описано нове сканування та використання Log4j, показане вище, а також надано теплові карти «Розташування URL-адрес Exploit C2» та «IP-адрес джерела спроби Exploit».
Більше на Sophos.com
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.