Berita itu tersebar baru-baru ini Kumpulan penggodam tajaan negara Iran dikesan yang mana sedang mengeksploitasi secara aktif kelemahan dalam apachelog4j untuk mengedarkan set alat PowerShell modular baharu.
Diperincikan oleh penyelidik di Check Point Software Technologies, Kumpulan penggodam APT35, juga dikenali sebagai Phosphorous dan Charming Kitten, mula-mula dikesan mengeksploitasi Log4j hanya empat hari selepas kelemahan pertama didedahkan.
Persediaan serangan digambarkan sebagai tergesa-gesa sejak kumpulan itu hanya menggunakan kit eksploit JNDI sumber terbuka asas.
Setelah mendapat akses kepada perkhidmatan yang terdedah, pengguna Penggodam Iran memasukkan rangka kerja modular baharu berdasarkan PowerShelyang dipanggil "CharmPower". Skrip digunakan untuk mewujudkan kegigihan, mengumpul maklumat, dan menjalankan arahan.
CharmPower mempunyai empat modul awal utama:
- Yang pertama mengesahkan sambungan rangkaian
- Yang kedua mengumpul maklumat sistem asas, seperti versi Windows, nama komputer, dan kandungan pelbagai fail sistem.
- Modul ketiga menyahkod domain arahan dan kawalan yang diambil daripada URL yang dikodkan yang disimpan dalam baldi Amazon Web Services Inc S3.
- Semasa modul pengekoran menerima, menyahsulit dan melaksanakan modul penjejakan.
Oleh maklumat yang dikumpul dengan pelaksanaan awal, APT35 kemudian melaksanakan modul tersuai tambahan untuk memudahkan pencurian data dan menyembunyikan kehadiran mereka pada mesin yang dijangkiti.
APT35 ialah kumpulan penggodam terkenal yang dikaitkan dengan serangan pada tahun 2020 terhadap kempen Trump, pegawai kerajaan AS semasa dan bekas, wartawan yang membuat liputan politik dunia, dan warga Iran terkemuka yang tinggal di luar Iran. Kumpulan itu juga menyasarkan Persidangan Keselamatan Munich pada tahun yang sama.
“Siasatan yang mengaitkan eksploitasi Log4Shell dengan Iranian Charming Kitten APT bertepatan dengan, dan agak bercanggah dengan, kenyataan yang dibuat oleh Agensi Infrastruktur dan Keselamatan Cybersecurity AS pada 10 Januari yang mencadangkan bahawa tidak ada pencerobohan penting yang berkaitan dengan pepijat pada masa itu. masa."
“Ini berkemungkinan menggariskan isu semasa dengan pendedahan insiden dan ketelusan, dan ketinggalan yang boleh wujud antara aktiviti pelaku ancaman dan penemuan.
John Bambenek, ketua pemburu ancaman di syarikat pengurusan perkhidmatan teknologi maklumat Netenrich Inc., berkata adalah tidak menghairankan bahawa pelakon negara bangsa peringkat kedua merebut peluang yang diberikan oleh kelemahan log4j secara tergesa-gesa.
"Sebarang kejayaan graviti ini akan diambil kesempatan oleh sesiapa yang mencari pijakan yang cepat, dan kadangkala tingkap taktikal seperti ini terbuka, yang bermakna anda perlu bertindak pantas," kata Bambenek. "Persoalan yang lebih besar ialah agensi perisikan mana yang menggunakan ini sebelum kelemahan itu didedahkan kepada umum."
Cacat Log4j, yang juga dikenali sebagai Log4Shell dan dijejaki sebagai CVE-2021-44228, merupakan ancaman besar kerana luas penggunaan perusahaan Log4j dan kebanyakan pelayan dan perkhidmatan berasaskan awan yang boleh terdedah kepada kelemahan jenis zeroday. Log4j, alat sumber terbuka percuma dan diedarkan secara meluas daripada Yayasan Perisian Apache, ialah alat pengelogan dan kecacatan itu menjejaskan versi 2.0 hingga 2.14.1.
profesional keselamatan telah mengatakan bahawa ancaman yang ditimbulkan oleh Log4Shell sangat tinggi bukan sahaja kerana skopnya penggunaan alat tersebut, tetapi juga kerana kemudahan yang boleh dieksploitasi kelemahan itu. Aktor ancaman hanya perlu menyerahkan rentetan yang mengandungi kod hasad, yang Log4j menghuraikan dan log serta memuat naik ke pelayan. Penggodam kemudiannya boleh mengawal
Berita bahawa penggodam Iran mengeksploitasi kelemahan Log4j datang apabila Pasukan Misi Siber Kebangsaan A.S. Cyber Command mendedahkan bahawa ia telah mengenal pasti beberapa alat sumber terbuka yang digunakan ejen perisikan Iran pada rangkaian penggodaman. semua orang.
Pendedahan itu berkaitan dengan kumpulan penggodam tajaan negara Iran yang digelar "MuddyWater."
Kumpulan itu telah dikaitkan dengan Kementerian Perisikan dan Keselamatan Iran dan terutamanya menyasarkan negara lain di Timur Tengah dan kadang-kadang negara di Eropah dan Amerika Utara.
Sekiranya anda ingin mengetahui lebih lanjut mengenainya, anda boleh menyemak perinciannya Dalam pautan berikut.