面對網路攻擊者利用或試圖利用未修補的系統滋生事端，Sophos繼回報Apache Log4Shell漏洞之後，提供網路威脅最新情報指出端倪。在SophosLabs Uncut文章《Log4Shell 地獄：漏洞利用爆發的剖析》中說明Sophos發現及觀察的多種狀況，包括：

--利用或試圖利用此漏洞的攻擊迅速增加，截至目前為止已偵測到數十萬次攻擊

--加密挖礦殭屍網路是最早使用這個攻擊的威脅，主要鎖定對象是尤其容易受到此漏洞影響的 Linux 伺服器

--試圖從服務中竊取資訊的攻擊，包括Amazon Web Services金鑰和其他私有資料

--觀察到這些攻擊會不斷試探不同類型的網路服務。在Sophos偵測到的攻擊之中，大約90%的探測都是鎖定輕量型目錄存取通訊協定(LDAP)。少數探測是針對Java的遠端介面(RMI)，但 Sophos研究人員指出似乎還有更多與RMI相關的特殊攻擊

--預計攻擊者會在未來幾天和幾週內加強和多樣化其攻擊方法和動機，包括利用勒索軟體

根據SophosLabs Uncut文章作者Sophos資深威脅研究員Sean Gallagher表示：

「自12月9日以來，Sophos已偵測到數十萬次使用Log4Shell弱點執行遠端執行程式碼的攻擊。最早出現的是概念驗證(PoC)，亦即安全研究人員和潛在攻擊者等進行的漏洞利用測試，以盡可能掃描出網路上的弱點，緊隨其後的是企圖安裝加密挖礦程式的惡意分子，包括Kinsing挖礦殭屍網路。最新情報表明，攻擊者正試圖透過這個弱點來偷取Amazon Web Service帳戶使用的金鑰。此外還有跡象顯示，攻擊者會利用該弱點在已被入侵的網路中安裝遠端存取工具如Cobalt Strike，而它是許多勒索軟體攻擊中的關鍵工具。

「Log4Shell弱點為防禦人員帶來了各種挑戰。許多軟體弱點僅限於特定產品或平台，例如 ProxyLogon和Microsoft Exchange中的ProxyShell漏洞。一旦防禦人員知道哪些軟體易受攻擊，他們就可以檢查並修補它。但是Log4Shell是一個被許多產品廣為使用的檔案庫，因此它存在於組織基礎架構的各個角落，例如由內部開發的任何軟體。找出所有容易因為Log4Shell而受攻擊的系統應該是 IT 安全的優先事項。

「Sophos預計攻擊者利用和使用這個弱點的速度只會加劇，並在接下來的幾天和幾週內出現各種新的變化。一旦攻擊者取得網路的存取權限，任何感染都可能隨之而來。因此，除了Apache已在 Log4j 2.15.0中發布的軟體更新之外，IT安全團隊還需要徹底檢視網路上的活動，以發現並刪除任何入侵者的痕跡，即使它看起來只是像是令人討厭的商用惡意軟體。」

此外Sophos首席研究科學家Paul Ducklin表示：「IPS、WAF和智慧型網路篩選等技術都有助於控制這一個全球性的漏洞。但是，以不同方式使用Log4Shell編碼的數量實在驚人，這些字串出現在網路流量中的許多不同位置，可能受到影響的各種伺服器和服務都對我們造成威脅。最好的回應作法非常明確：立即修補或減輕您自己系統的風險。」

Sophos文章提供實用的建議，解釋了漏洞的運作原理、為什麼、可以做什麼以及如何修復它。