Объявлено, что недавно они обнаружили группу хакеров, спонсируемых иранским государством какие из них активно эксплуатируют уязвимости в Апач Log4j для распространения нового набора модульных инструментов PowerShell.
Подробно исследователями из Check Point Software Technologies, Хакерская группа APT35, также известная как Phosphorous and Charming Kitten, впервые была замечена в использовании Log4j всего через четыре дня после обнаружения первой уязвимости.
Настройка атаки охарактеризован как поспешный, так как группа он использовал только набор эксплойтов JNDI с открытым исходным кодом.
Получив доступ к уязвимому сервису, Иранские хакеры включили новый модульный фреймворк на основе PowerShelчто называлось «Сила очарования». Сценарий используется для установления постоянства, сбора информации и выполнения команд.
ОчарованиеСила Он имеет четыре основных начальных модуля:
- Первый проверяет сетевое соединение
- Второй собирает базовую системную информацию, такую как версия Windows, имя компьютера и содержимое различных системных файлов.
- Третий модуль декодирует домен управления и контроля, полученный из закодированного URL-адреса, хранящегося в репозитории Amazon Web Services Inc S3.
- В то время как конечный модуль получает, расшифровывает и выполняет модули отслеживания.
По собранная информация для начального развертывания APT35, затем внедрить дополнительные пользовательские модули для облегчения кражи данных и сокрытия их присутствия на зараженной машине.
APT35 — известная хакерская группа, которая была связана с атаками 2020 года на штаб Трампа, действующих и бывших правительственных чиновников США, журналистов, освещающих мировую политику, и видных иранцев, живущих за пределами Ирана. Группа также нацелилась на Мюнхенскую конференцию по безопасности в том же году.
«Расследование, связывающее использование Log4Shell с иранской APT Charming Kitten, совпадает и каким-то образом противоречит заявлению, сделанному Агентством инфраструктуры и безопасности США по инфраструктуре и безопасности от 10 января, в котором предполагается, что на тот момент не было никаких серьезных вторжений, связанных с ошибкой. время. "
«Вероятно, это подчеркивает текущие проблемы с раскрытием и прозрачностью инцидентов, а также задержку, которая может существовать между действиями злоумышленников и их обнаружением.
Джон Бамбенек, главный охотник за угрозами в компании по управлению услугами в области информационных технологий Netenrich Inc., сказал, что неудивительно, что второстепенные государственные деятели в спешке воспользовались возможностью, предоставленной уязвимостью log4j.
«Любой подвиг такой серьезности будет использован любым, кто ищет быструю точку опоры, и иногда открываются такие тактические окна, что означает, что вы должны действовать быстро», — сказал Бамбенек. «Больший вопрос заключается в том, какое разведывательное агентство использовало это до того, как об уязвимости стало известно».
Уязвимость Log4j, также известная как Журнал4Shell и отслеживается как CVE-2021-44228, представляет собой серьезную угрозу из-за широкого деловое использование Log4j и большого количества облачных серверов и сервисов которые могут быть подвержены уязвимостям типа Zeroday. Log4j, бесплатный и широко распространенный инструмент с открытым исходным кодом от Apache Software Foundation, представляет собой инструмент ведения журнала, и уязвимость затрагивает версии с 2.0 по 2.14.1.
Специалисты по безопасности сказали, что угроза, исходящая от Log4Shell, настолько высока не только из-за масштаба использования инструмента, но и из-за легкости, с которой его можно использовать уязвимость. Злоумышленникам нужно только отправить строку, содержащую вредоносный код, который анализируется и регистрируется Log4j и загружается на сервер. Тогда хакеры смогут получить контроль над
Новости о том, что иранские хакеры использовали уязвимости Log4j, появились после того, как Национальная киберкомандование США по кибербезопасности обнаружило несколько инструментов с открытым исходным кодом, которые агенты иранской разведки используют во всех сетях.
Раскрытие информации относится к спонсируемой иранским государством хакерской группе MuddyWater.
Группа была связана с Министерством разведки и безопасности Ирана и нацелена в основном на другие страны Ближнего Востока, а иногда и на страны Европы и Северной Америки.
Если вы хотите узнать об этом больше, вы можете проверить подробности По следующей ссылке.