Het nieuws brak dat onlangs Door de Iraanse staat gesponsorde hackergroep gedetecteerd welke zijn actief aan het exploiteren de kwetsbaarheden in apachelog4j om een nieuwe modulaire PowerShell-toolset te distribueren.
Gedetailleerd door onderzoekers van Check Point Software Technologies, De APT35-hackergroep, ook bekend als Phosphorous and Charming Kitten, werd voor het eerst ontdekt door gebruik te maken van Log4j, slechts vier dagen nadat de eerste kwetsbaarheid werd onthuld.
De aanvalsopstelling beschreven als gehaast sinds de groep gebruikte alleen een eenvoudige open source JNDI-exploitkit.
Nadat ze toegang hebben gekregen tot een kwetsbare service, kunnen gebruikers Iraanse hackers hebben een nieuw modulair raamwerk op basis van PowerShel . opgenomendie heette "CharmPower". Het script wordt gebruikt om persistentie vast te stellen, informatie te verzamelen en opdrachten uit te voeren.
Charme Kracht heeft vier belangrijke initiële modules:
- De eerste valideert een netwerkverbinding
- De tweede verzamelt basissysteeminformatie, zoals de versie van Windows, de naam van de computer en de inhoud van verschillende systeembestanden.
- De derde module decodeert het commando- en controledomein dat is opgehaald uit een gecodeerde URL die is opgeslagen in een Amazon Web Services Inc S3-bucket.
- Terwijl de volgmodule de volgmodules ontvangt, decodeert en uitvoert.
Door de verzamelde informatie door initiële implementatie, APT35 dan extra aangepaste modules implementeren om gegevensdiefstal te vergemakkelijken en hun aanwezigheid op de geïnfecteerde machine te verbergen.
APT35 is een bekende hackergroep die werd gelinkt aan aanvallen in 2020 tegen de Trump-campagne, huidige en voormalige Amerikaanse regeringsfunctionarissen, journalisten die verslag doen van de wereldpolitiek en prominente Iraniërs die buiten Iran wonen. De groep richtte zich datzelfde jaar ook op de veiligheidsconferentie van München.
“Het onderzoek dat de Log4Shell-exploit koppelt aan de Iraanse Charming Kitten APT valt samen met, en is enigszins in strijd met, een verklaring van het Amerikaanse Cybersecurity Infrastructure and Security Agency op 10 januari die suggereerde dat er op dat moment geen significante inbreuken waren met betrekking tot de bug. tijd."
“Dit onderstreept waarschijnlijk de huidige problemen met de openbaarmaking van incidenten en transparantie, en de vertraging die kan bestaan tussen de activiteit van de dreigingsactor en de ontdekking.
John Bambenek, chief threat hunter bij IT-beheerbedrijf Netenrich Inc., zei dat het niet verwonderlijk is dat tweederangs natiestaten de kans grijpen die wordt geboden door de log4j-kwetsbaarheid in een haast.
"Elke prestatie van deze ernst zou worden uitgebuit door iedereen die op zoek is naar een snelle voet aan de grond, en soms gaan tactische vensters zoals deze open, wat betekent dat je snel moet handelen", zei Bambenek. "De grotere vraag is welke inlichtingendienst dit gebruikte voordat de kwetsbaarheid openbaar werd gemaakt."
De Log4j-fout, ook wel bekend als Log4Shell en wordt bijgehouden als CVE-2021-44228, is een grote bedreiging vanwege de brede zakelijk gebruik van Log4j en de overvloed aan servers en cloudgebaseerde services die kwetsbaarheden van het zeroday-type kunnen blootleggen. Log4j, een gratis en wijd verspreid open source-tool van de Apache Software Foundation, is een logging-tool en de fout treft versie 2.0 tot en met 2.14.1.
beveiligingsprofessionals hebben gezegd dat de dreiging van Log4Shell zo hoog is, niet alleen vanwege de reikwijdte van het gebruik van het gereedschap, maar ook vanwege het gemak waarmee het kan worden uitgebuit de kwetsbaarheid. Bedreigingsactoren hoeven alleen een tekenreeks in te dienen die de kwaadaardige code bevat, die Log4j parseert en logt en uploadt naar een server. Hackers kunnen dan controle krijgen over de
Het nieuws dat Iraanse hackers misbruik maakten van Log4j-kwetsbaarheden, kwam toen de National Cyber Mission Force van de Amerikaanse Cyber Commando onthulde dat het verschillende open source-tools had geïdentificeerd die Iraanse inlichtingenagenten gebruiken op het hacken van netwerken.
De onthulling heeft betrekking op een door de Iraanse staat gesponsorde hackergroep genaamd "MuddyWater".
De groep is gelinkt aan het Iraanse Ministerie van Inlichtingen en Veiligheid en richt zich voornamelijk op andere landen in het Midden-Oosten en soms op landen in Europa en Noord-Amerika.
Als je er meer over wilt weten, kun je de details bekijken In de volgende link.