La nouvelle est tombée que récemment Un groupe de hackers parrainé par l'État iranien détecté lesquels exploitent activement les vulnérabilités dans apachelog4j pour distribuer un nouvel ensemble d'outils modulaires PowerShell.
Détaillé par des chercheurs de Check Point Software Technologies, Le groupe de hackers APT35, également connu sous le nom de Phosphorous and Charming Kitten, a été détecté pour la première fois en train d'exploiter Log4j quatre jours seulement après la divulgation de la première vulnérabilité.
La configuration de l'attaque décrit comme précipité depuis le groupe utilisé uniquement un kit d'exploitation JNDI open source de base.
Ayant accédé à un service vulnérable, les utilisateurs Les pirates iraniens ont inclus un nouveau cadre modulaire basé sur PowerShelqui s'appelait « Pouvoir de charme ». Le script est utilisé pour établir la persistance, collecter des informations et exécuter des commandes.
CharmePuissance comporte quatre principaux modules initiaux :
- Le premier valide une connexion réseau
- La seconde collecte des informations système de base, telles que la version de Windows, le nom de l'ordinateur et le contenu de divers fichiers système.
- Le troisième module décode le domaine de commande et de contrôle récupéré à partir d'une URL codée stockée dans un compartiment Amazon Web Services Inc S3.
- Pendant que le module de fin reçoit, décrypte et exécute les modules de suivi.
D'après les informations recueillies par implémentation initiale, APT35 puis implémenter des modules personnalisés supplémentaires pour faciliter le vol de données et masquer leur présence sur la machine infectée.
APT35 est un groupe de hackers bien connu qui a été lié à des attaques en 2020 contre la campagne Trump, des responsables actuels et anciens du gouvernement américain, des journalistes couvrant la politique mondiale et d'éminents Iraniens vivant en dehors de l'Iran. Le groupe a également ciblé la Conférence de Munich sur la sécurité la même année.
"L'enquête reliant l'exploit Log4Shell à l'Iranian Charming Kitten APT coïncide avec, et quelque peu en conflit avec, une déclaration faite par la US Cybersecurity Infrastructure and Security Agency le 10 janvier qui suggérait qu'il n'y avait eu aucune intrusion significative liée au bogue à ce moment-là. temps."
« Cela souligne probablement les problèmes actuels de divulgation et de transparence des incidents, ainsi que le décalage qui peut exister entre l'activité des acteurs menaçants et leur découverte.
John Bambenek, chasseur de menaces en chef de la société de gestion des services de technologie de l'information Netenrich Inc., a déclaré qu'il n'est pas surprenant que les acteurs des États-nations de second niveau saisissent l'opportunité offerte par la vulnérabilité log4j à la hâte.
"Tout exploit de cette gravité serait exploité par quiconque recherche une prise de pied rapide, et parfois des fenêtres tactiques comme celle-ci s'ouvrent, ce qui signifie que vous devez agir rapidement", a déclaré Bambenek. "La plus grande question est de savoir quelle agence de renseignement utilisait cela avant que la vulnérabilité ne soit rendue publique."
La faille Log4j, également connue sous le nom de Log4Shell et est suivi comme CVE-2021-44228, est une menace majeure en raison de la large l'utilisation en entreprise de Log4j et de la pléthore de serveurs et de services basés sur le cloud qui pourraient être exposées à des vulnérabilités de type zeroday. Log4j, un outil open source gratuit et largement distribué de l'Apache Software Foundation, est un outil de journalisation et la faille affecte les versions 2.0 à 2.14.1.
professionnels de la sécurité ont déclaré que la menace posée par Log4Shell est si élevée non seulement en raison de la portée de l'utilisation de l'outil, mais aussi à cause de la facilité avec laquelle il peut être exploité la vulnérabilité. Les acteurs de la menace n'ont qu'à soumettre une chaîne contenant le code malveillant, que Log4j analyse, enregistre et télécharge sur un serveur. Les pirates peuvent alors prendre le contrôle du
La noticia de que los hackers iraníes estaban explotando las vulnerabilidades de Log4j se produjo cuando la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. reveló que había identificado varias herramientas de código abierto que los agentes de inteligencia iraníes están utilizando en redes de tout le monde.
La divulgation concerne un groupe de pirates informatiques parrainé par l'État iranien surnommé "MuddyWater".
Le groupe a été lié au ministère iranien du renseignement et de la sécurité et cible principalement d'autres pays du Moyen-Orient et occasionnellement des pays d'Europe et d'Amérique du Nord.
Si vous voulez en savoir plus, vous pouvez vérifier les détails dans le lien suivant.