Группа хакеров эксплуатирует уязвимости Apache Log4j

log4j

Объявлено, что недавно они обнаружили группу хакеров, спонсируемых иранским государством какие из них активно эксплуатируют уязвимости в Апач Log4j для распространения нового набора модульных инструментов PowerShell.

Подробно исследователями из Check Point Software Technologies, Хакерская группа APT35, также известная как Phosphorous and Charming Kitten, впервые была замечена в использовании Log4j всего через четыре дня после обнаружения первой уязвимости.

Настройка атаки охарактеризован как поспешный, так как группа он использовал только набор эксплойтов JNDI с открытым исходным кодом.

Получив доступ к уязвимому сервису, Иранские хакеры включили новый модульный фреймворк на основе PowerShelчто называлось «Сила очарования». Сценарий используется для установления постоянства, сбора информации и выполнения команд.

ОчарованиеСила Он имеет четыре основных начальных модуля:

  • Первый проверяет сетевое соединение
  • Второй собирает базовую системную информацию, такую ​​как версия Windows, имя компьютера и содержимое различных системных файлов.
  • Третий модуль декодирует домен управления и контроля, полученный из закодированного URL-адреса, хранящегося в репозитории Amazon Web Services Inc S3.
  • В то время как конечный модуль получает, расшифровывает и выполняет модули отслеживания.

По собранная информация для начального развертывания APT35, затем внедрить дополнительные пользовательские модули для облегчения кражи данных и сокрытия их присутствия на зараженной машине.

APT35 — известная хакерская группа, которая была связана с атаками 2020 года на штаб Трампа, действующих и бывших правительственных чиновников США, журналистов, освещающих мировую политику, и видных иранцев, живущих за пределами Ирана. Группа также нацелилась на Мюнхенскую конференцию по безопасности в том же году.

«Расследование, связывающее использование Log4Shell с иранской APT Charming Kitten, совпадает и каким-то образом противоречит заявлению, сделанному Агентством инфраструктуры и безопасности США по инфраструктуре и безопасности от 10 января, в котором предполагается, что на тот момент не было никаких серьезных вторжений, связанных с ошибкой. время. "

«Вероятно, это подчеркивает текущие проблемы с раскрытием и прозрачностью инцидентов, а также задержку, которая может существовать между действиями злоумышленников и их обнаружением.

Джон Бамбенек, главный охотник за угрозами в компании по управлению услугами в области информационных технологий Netenrich Inc., сказал, что неудивительно, что второстепенные государственные деятели в спешке воспользовались возможностью, предоставленной уязвимостью log4j.

«Любой подвиг такой серьезности будет использован любым, кто ищет быструю точку опоры, и иногда открываются такие тактические окна, что означает, что вы должны действовать быстро», — сказал Бамбенек. «Больший вопрос заключается в том, какое разведывательное агентство использовало это до того, как об уязвимости стало известно».

Уязвимость Log4j, также известная как Log4Shell и отслеживается как CVE-2021-44228, представляет собой серьезную угрозу из-за широкого деловое использование Log4j и большого количества облачных серверов и сервисов которые могут быть подвержены уязвимостям типа Zeroday. Log4j, бесплатный и широко распространенный инструмент с открытым исходным кодом от Apache Software Foundation, представляет собой инструмент ведения журнала, и уязвимость затрагивает версии с 2.0 по 2.14.1.

Специалисты по безопасности сказали, что угроза, исходящая от Log4Shell, настолько высока не только из-за масштаба использования инструмента, но и из-за легкости, с которой его можно использовать уязвимость. Злоумышленникам нужно только отправить строку, содержащую вредоносный код, который анализируется и регистрируется Log4j и загружается на сервер. Тогда хакеры смогут получить контроль над

Новости о том, что иранские хакеры использовали уязвимости Log4j, появились после того, как Национальная киберкомандование США по кибербезопасности обнаружило несколько инструментов с открытым исходным кодом, которые агенты иранской разведки используют во всех сетях.

Раскрытие информации относится к спонсируемой иранским государством хакерской группе MuddyWater.

Группа была связана с Министерством разведки и безопасности Ирана и нацелена в основном на другие страны Ближнего Востока, а иногда и на страны Европы и Северной Америки.

Если вы хотите узнать об этом больше, вы можете проверить подробности По следующей ссылке.


Содержание статьи соответствует нашим принципам редакционная этика. Чтобы сообщить об ошибке, нажмите здесь.

Будьте первым, чтобы комментировать

Оставьте свой комментарий

Ваш электронный адрес не будет опубликован.

*

*

  1. Ответственный за данные: AB Internet Networks 2008 SL
  2. Назначение данных: контроль спама, управление комментариями.
  3. Легитимация: ваше согласие
  4. Передача данных: данные не будут переданы третьим лицам, кроме как по закону.
  5. Хранение данных: база данных, размещенная в Occentus Networks (ЕС)
  6. Права: в любое время вы можете ограничить, восстановить и удалить свою информацию.