簡述
Log4j 是於去年 12 月被發現的漏洞，由於漏洞影響範圍甚廣且嚴重程度高，是近十年最嚴重的弱點之一。

具體可參考下列文章：
https://www.key-wisdom.com/security_forum_content.php?id=289

Log4j 無處不在的性質促使全球各組織必須盡快修補此漏洞，但是幾個月下來，還是可以發現不少組織仍受漏洞影響。

Symantec 的研究人員發現， 北韓駭客組織 Stonefly 就利用了 Log4j 漏洞，駭入美國國防及能源有合作關係的工程公司，在其內部網路中移動並至少破壞了 18 台計算機。

 

Stonefly
Stonefly 也稱為 Darkseoul、Blackmine、Operation Troy 和 Silent Chollima，是來自北韓的間諜團隊，以竊取機密及智財為主要活動，同時也和其他北韓駭客組織如 Pompilus 及 Lazarus Group 聯手。Stonefly 主要以高科技產業為攻擊目標，像是輔助能源、航太或軍事設備研發的單位。

 

攻擊手法
駭客是利用 Log4j 漏洞存取面向網際網路的 VMware View 伺服器這一點來進行攻擊的。在駭入系統後，Stonefly 透過植入了Preft 後門，以 Mimitatz 在存取機敏資料，再透過多種工具於受害者的內部網路橫向移動，最後入侵了另外18 台計算機。此外，Stonefly 利用自行開發的資訊竊取工具破解加密保護，並以 SSH 連線將竊取的檔案傳送到外部。

 

盡快修補漏洞
為了避免駭客群體持續利用 Log4j 持續進行攻擊，企業組織應盡快對應用程序和軟體進行安全更新。

 

參考資料：
https://www.ithome.com.tw/news/150749
https://www.zdnet.com/article/heres-how-hackers-used-the-log4j-flaw-to-gain-access-before-moving-across-a-companys-network/