Nemrég felröppent a hír Iráni állam által támogatott hackercsoportot észleltek melyik aktívan kihasználják benne lévő sebezhetőségek apachelog4j egy új moduláris PowerShell eszközkészlet terjesztésére.
A Check Point Software Technologies kutatói részletezték, A Phosphorous and Charming Kitten néven is ismert APT35 hackercsoportot először mindössze négy nappal az első sérülékenység felfedése után észlelték a Log4j kihasználásában.
A támadás beállítása sietősnek írták le, mivel a csoport csak egy alap nyílt forráskódú JNDI exploit kitt használt.
Miután hozzáfértek egy sebezhető szolgáltatáshoz, a felhasználók Az iráni hackerek egy új, PowerShelen alapuló moduláris keretrendszert tartalmaztakamelyet úgy hívtak "Varázserő". A szkript a perzisztencia megteremtésére, az információk összegyűjtésére és a parancsok végrehajtására szolgál.
CharmPower négy fő kezdeti modullal rendelkezik:
- Az első a hálózati kapcsolatot érvényesíti
- A második alapvető rendszerinformációkat gyűjt, például a Windows verzióját, a számítógép nevét és a különféle rendszerfájlok tartalmát.
- A harmadik modul dekódolja az Amazon Web Services Inc S3 tárolójában tárolt kódolt URL-ről leolvasott parancs- és vezérlőtartományt.
- Amíg a záró modul fogadja, visszafejti és végrehajtja a nyomkövető modulokat.
Által az összegyűjtött információkat kezdeti megvalósítással, majd APT35 további egyedi modulok megvalósítása hogy megkönnyítsék az adatlopást és elrejtsék jelenlétüket a fertőzött gépen.
Az APT35 egy jól ismert hackercsoport, amely kapcsolatban áll a Trump-kampány, jelenlegi és volt amerikai kormánytisztviselők, világpolitikával foglalkozó újságírók és Iránon kívül élő prominens irániak elleni 2020-as támadásokkal. A csoport ugyanabban az évben a müncheni biztonsági konferenciát is célba vette.
„A Log4Shell kizsákmányolást az iráni Charming Kitten APT-vel összekapcsoló vizsgálat egybeesik az Egyesült Államok Kiberbiztonsági Infrastruktúra és Biztonsági Ügynökségének január 10-i kijelentésével, és némileg ellentmond azzal, amely azt sugallja, hogy akkoriban nem történt jelentős behatolás a hibával kapcsolatban. idő."
„Ez valószínűleg aláhúzza az incidensek feltárásával és átláthatóságával kapcsolatos jelenlegi problémákat, valamint azt a késést, amely a fenyegető szereplők tevékenysége és a felfedezés között fennállhat.
John Bambenek, a Netenrich Inc. informatikai szolgáltatásokat kezelő társaság vezető fenyegetésvadásza szerint nem meglepő, hogy a másodlagos nemzetállami szereplők rohanásban megragadják a log4j sebezhetőség adta lehetőséget.
„Bármilyen ilyen súlyos bravúrt bárki kihasználna, aki gyors támpontot keres, és néha megnyílnak az ehhez hasonló taktikai ablakok, ami azt jelenti, hogy gyorsan kell cselekedni” – mondta Bambenek. "A nagyobb kérdés az, hogy melyik titkosszolgálat használta ezt a sebezhetőség nyilvánosságra hozatala előtt."
A Log4j hiba, amely más néven Log4Shell és CVE-2021-44228-ként van nyomon követve, nagy veszélyt jelent a széles miatt a Log4j vállalati használata, valamint a rengeteg szerver és felhő alapú szolgáltatás amelyek nulladik nap típusú sebezhetőséget jelenthetnek. A Log4j, az Apache Software Foundation ingyenes és széles körben terjesztett nyílt forráskódú eszköze, egy naplózó eszköz, és a hiba a 2.0-tól 2.14.1-ig terjedő verziókat érinti.
biztonsági szakemberek azt mondták, hogy a Log4Shell által jelentett fenyegetés nem csak a terjedelem miatt olyan magas a szerszám használatáról, hanem a könnyedség miatt is, amellyel kihasználható a sebezhetőséget. A fenyegetés szereplőinek csak a rosszindulatú kódot tartalmazó karakterláncot kell elküldeniük, amelyet a Log4j elemzi, naplóz és feltölt a szerverre. A hackerek ekkor átvehetik az irányítást a
A hírek arról szóltak, hogy iráni hackerek kihasználják a Log4j sebezhetőségeit, amikor az Egyesült Államok Kiberparancsnokságának Nemzeti Kibermissziós Erőke felfedte, hogy számos nyílt forráskódú eszközt azonosított, amelyeket az iráni titkosszolgálati ügynökök használnak a hackerhálózatokon.
A nyilvánosságra hozatal egy iráni állam által támogatott "MuddyWater" nevű hackercsoportra vonatkozik.
A csoport kapcsolatban áll az iráni hírszerzési és biztonsági minisztériummal, és elsősorban a Közel-Kelet más nemzeteit veszi célba, esetenként pedig Európa és Észak-Amerika országait.
Ha többet szeretne tudni róla, ellenőrizheti a részleteket A következő linken.