Log4j脆弱性被恶意利用，形成“Proxyjacking”攻击

关键要点

• Proxyjacking 是利用Log4j脆弱性的新型恶意攻击方式，攻击者在阴暗中通过安装代理软件来转售受害者的带宽。
• Sysdig的研究表明，全球有约23,000个系统仍然未打补丁，易受到Log4j漏洞的攻击。
• 攻击者利用第三方服务，通过劫持带宽来获取收入，而这些服务通常是合法的并且主要面向家庭互联网用户。
• Log4j脆弱性为带宽劫持提供了新的攻击途径，安全专家建议用户需要采取措施保护自己。

Log4j脆弱性正在成为新一轮恶意攻击的目标，这种攻击被称为 “proxyjacking” 。攻击者企图在不知情的受害者设备上安装名为
proxyware
的合法网络分割工具，以每月高达10美元的价格重新销售目标的带宽。Sysdig的威胁研究团队指出，攻击者锁定了数百万个仍然易受Log4j脆弱性影响的系统，报告中提及根据Censys的数据，有23,000个未打补丁的系统易受Log4j漏洞威胁，并且可以通过公共互联网接触。

Sysdig的研究人员在一份报告中提到：“Log4j并不是部署proxyjacking恶意软件的唯一攻击向量，但仅这个漏洞理论上每月就能带来超过220,000美元的利润。”
。

Proxyjacking与第三方服务

Proxyjacking会滥用一些原本无恶意的第三方服务，这些服务主要面向家庭互联网用户，允许客户将自己“未使用”的带宽部分重新销售。在服务名为
Pawns 、IPRoyal 和 Peer2Profit
中，用户每月可以获得高达10美元的收入。这些带宽被转售给各类客户，供他们使用互联网协议 (IP) 地址和带宽，进而访问可能在某些地理区域被封锁的流媒体内容。

建议 ：用户在使用这些第三方服务时，务必保持警惕，确保未被恶意软件滥用。

云基础设施受到针对

Sysdig研究团队发现，针对Kubernetes基础设施的proxyjacking攻击中，攻击者特别瞄准了一个未打补丁的ApacheSolr服务，以此掌控容器并继续实施他们的活动。
目前，Sysdig没有指明进行这些.proxyjacking攻击的具体组织，也没有详细列出攻击的范围、时间线或具体受影响的目标和地理区域。

在最近的一次博文中，
解释道，尽管无恶意的带宽转售服务有相应的指南和工具来限制滥用，但这些服务在过去确实遭到滥用。这些滥用并未涉及利用Log4j的脆弱性，而是与点击欺诈活动及将流量引导至恶意广告网站等行为有关，这些网站会未经同意地将受害者纳入其中。随后，客户获得的收入将流向攻击者。

难以根除的滥用行为

通过proxyjacking，攻击者可以每个IP地址每月获得约9.60美元的收益。通过Log4j部署proxyware理论上可以实现每月超过220,000美元的利润，而较为保守的估算显示，即便是针对100个IP进行攻击，其每月的收入也会接近1,000美元。
部分proxyware服务会对购买的IP类型进行限制，而其他服务则没有，这为在服务器或数据中心IP上运行留下了可能性。

Proxyjacking的概念和cryptojacking相似，后者是在受害者设备上安装加密挖矿软件。而proxyjacking恶意软件同样也是如此。但与加密挖矿不同，通过监控CPU使用情况可以检测到加密挖矿，而proxyjacking更难以察觉。研究人员指出，系统上的影响微乎其微，一个月内的网络流量仅