החדשות התפרסמו על כך לאחרונה זוהתה קבוצת האקרים בחסות המדינה האיראנית אשר מנצלים באופן פעיל הפגיעות ב apachelog4j להפצת ערכת כלים מודולרית חדשה של PowerShell.
מפורט על ידי חוקרים ב-Check Point Software Technologies, קבוצת ההאקרים APT35, הידועה גם בשם Phosphorous and Charming Kitten, זוהתה לראשונה תוך ניצול Log4j רק ארבעה ימים לאחר חשיפת הפגיעות הראשונה.
מערך ההתקפה מתואר כממהר מאז הקבוצה השתמש רק בערכת ניצול בסיסית של JNDI בקוד פתוח.
לאחר שהשיג גישה לשירות פגיע, משתמשים האקרים איראנים כללו מסגרת מודולרית חדשה המבוססת על PowerShelשנקרא "כוח קסם". הסקריפט משמש כדי לבסס התמדה, לאסוף מידע ולהפעיל פקודות.
CharmPower יש ארבעה מודולים ראשוניים עיקריים:
- הראשון מאמת חיבור לרשת
- השני אוסף מידע בסיסי על המערכת, כמו גרסת Windows, שם המחשב ותוכן קבצי מערכת שונים.
- המודול השלישי מפענח את תחום הפקודה והבקרה שאוחזר מכתובת URL מקודדת המאוחסנת בדלי של Amazon Web Services Inc S3.
- בזמן שהמודול הנגרר מקבל, מפענח ומבצע את מודולי המעקב.
על ידי המידע שנאסף על ידי יישום ראשוני, APT35 אז ליישם מודולים מותאמים אישית נוספים כדי להקל על גניבת נתונים ולהסתיר את נוכחותם במכונה הנגועה.
APT35 היא קבוצת האקרים ידועה שהייתה קשורה להתקפות בשנת 2020 נגד קמפיין טראמפ, פקידי ממשל ארה"ב בהווה ובעבר, עיתונאים המסקרים את הפוליטיקה העולמית ואיראנים בולטים שחיים מחוץ לאיראן. הקבוצה גם כיוונה לוועידת האבטחה של מינכן באותה שנה.
"החקירה הקושרת את ניצול ה-Log4Shell ל-APT האיראני החתלתול המקסים עולה בקנה אחד עם, וקצת מתנגשת עם, הצהרה של סוכנות התשתית והאבטחה האמריקנית לאבטחת סייבר ב-10 בינואר, אשר העלתה כי לא היו חדירות משמעותיות הקשורות לבאג באותו זמן. זְמַן."
"זה כנראה מדגיש את הבעיות הנוכחיות עם חשיפת אירועים ושקיפות, ואת הפיגור שיכול להתקיים בין פעילות שחקנית האיום לגילוי.
ג'ון באמבנק, צייד האיומים הראשי בחברת ניהול שירותי טכנולוגיית המידע Netenrich Inc., אמר שזה לא מפתיע ששחקנים מהשורה השנייה של מדינת לאום מנצלים את ההזדמנות שמציגה פגיעות log4j במהירות.
"כל הישג בחומרה זו ינוצל על ידי כל מי שמחפש דריסת רגל מהירה, ולפעמים נפתחים חלונות טקטיים כמו זה, מה שאומר שאתה צריך לפעול מהר", אמר במבנק. "השאלה הגדולה יותר היא איזו סוכנות ביון השתמשה בזה לפני שהפגיעות פורסמה לציבור".
פגם Log4j, הידוע גם בשם Log4Shell ונמצא במעקב כ-CVE-2021-44228, מהווה איום גדול בשל הרחבה שימוש ארגוני ב-Log4j ובשפע השרתים והשירותים מבוססי הענן שעלולות להיחשף נקודות תורפה מסוג zeroday. Log4j, כלי קוד פתוח חינמי ומופץ נרחב מ- Apache Software Foundation, הוא כלי רישום והפגם משפיע על גרסה 2.0 עד 2.14.1.
אנשי מקצוע בתחום האבטחה אמרו שהאיום שמציב Log4Shell כל כך גבוה לא רק בגלל ההיקף של השימוש בכלי, אלא גם בגלל הקלות שבה ניתן לנצל אותו הפגיעות. שחקני איומים צריכים לשלוח רק מחרוזת המכילה את הקוד הזדוני, ש-Log4j מנתח ומתעד ומעלה לשרת. האקרים יכולים לאחר מכן להשיג שליטה על
החדשות שהאקרים איראנים מנצלים את נקודות התורפה של Log4j הגיעו כאשר כוח משימת הסייבר הלאומי של פיקוד הסייבר של ארה"ב חשף כי זיהה מספר כלים בקוד פתוח שסוכני מודיעין איראניים משתמשים בהם ברשתות פריצה. כולם.
החשיפה מתייחסת לקבוצת האקרים בחסות המדינה האיראנית שכונה "MuddyWater".
הקבוצה מקושרת למשרד המודיעין והביטחון של איראן ומכוונת בעיקר למדינות אחרות במזרח התיכון ולעיתים גם למדינות באירופה ובצפון אמריקה.
אם אתה רוצה לדעת יותר על זה, אתה יכול לבדוק את הפרטים בקישור הבא.