Warka ayaa la sii daayay dhawaan waxay ogaadeen koox tuugo ah oo ay maalgalisay dawladda Iran taas si firfircoon ayey uga faa'ideysanayaan baylahda gudaha apachelog4j si loo qaybiyo qalab cusub oo PowerShell modular ah.
Waxaa faahfaahinaya cilmi-baarayaal jooga Check Point Software Technologies, Kooxda Hackers-ka ah ee APT35, oo sidoo kale loo yaqaan Fosfooraska iyo Kitten soo jiidasho leh, ayaa markii ugu horreysay la arkay iyagoo ka faa'iidaysanaya Log4j afar maalmood uun ka dib markii la ogaaday nuglaanta koowaad.
Habaynta weerarka lagu tilmaamay mid degdeg ah, tan iyo kooxda waxa ay isticmaashay kaliya xidhmo ka faa'iidaysiga il furan ee JNDI.
Ka dib markii la helay adeeg nugul, Hackers-ka Iran waxa ku jiray qaab-dhismeedka cusub ee ku salaysan PowerShelmaxaa la odhan jiray "Charmpower". Qoraalka waxa loo isticmaalaa in lagu dhiso adkaysiga, ururinta macluumaadka, iyo fulinta amarada.
CharmPower Waxay leedahay afar qaybood oo bilowga ah:
- Midka kowaad wuxuu ansaxiyaa isku xirka shabakada
- Midka labaad wuxuu ururiyaa macluumaadka nidaamka aasaasiga ah sida nooca Windows, magaca kombiyuutarka, iyo waxa ku jira faylalka nidaamka kala duwan.
- Cutubka saddexaad waxa uu dejiyaa amarka iyo aagga koontaroolka laga soo saaray URL-ku-qoran ee lagu kaydiyay Amazon Web Services Inc S3.
- Halka moduleka ugu dambeeya uu helayo, furfuro oo uu fuliyo cutubyada raadraaca.
Sida laga soo xigtay xogta la ururiyey geynta bilowga ah, APT35 markaas hirgeliyaan modules caadadii dheeraad ah si loo fududeeyo xatooyada xogta oo loo qariyo joogitaankeeda mashiinka cudurka qaba.
APT35 waa koox si aad ah loo yaqaan oo la jabsado oo lala xiriiriyay weeraradii 2020 ee lagu qaaday ololaha Trump, saraakiil ka tirsan dowladda Mareykanka hadda iyo kuwii hore, saxafiyiin wax ka qora siyaasadda adduunka, iyo Iiraaniyiin caan ah oo ku nool meel ka baxsan Iran. Kooxda ayaa sidoo kale bartilmaameedsatay shirkii amniga ee Munich isla sanadkaas.
"Baaritaanka xiriirinta ka faa'iidaysiga Log4Shell iyo Iran APT Charming Kitten ayaa ku soo beegmaysa, iyo si uun isku dhacyo, iyadoo bayaan ay soo saartay Hay'adda Kaabayaasha Amniga iyo Kaabayaasha Ammaanka ee Mareykanka 10-kii Janaayo oo soo jeedisay inaysan jirin faragelin la taaban karo oo la xiriirta cilladda taas waqti."
"Tani waxay u badan tahay inay hoosta ka xariiqdo arrimaha hadda socda ee muujinta dhacdada iyo daah-furnaanta, iyo dib u dhaca ka dhex jira dhaqdhaqaaqa jilayaasha khatarta ah iyo daahfurka.
John Bambenek, madaxa ugaarsiga khatarta ah ee maamulka adeegyada tignoolajiyada macluumaadka ee Netenrich Inc., ayaa sheegay in aanay la yaab ahayn in jilayaasha heerka labaad ee qaranka ay ka faa'iidaystaan fursadda ay soo bandhigtay dayacanka log4j si degdeg ah.
"Wax kasta oo ka mid ah darnaantan waxaa ka faa'iidaysan doona qof kasta oo raadinaya meel deg deg ah, iyo mararka qaarkood daaqadaha taatikada ah ee sidan oo kale ah ayaa furma, taasoo la macno ah inaad si dhakhso ah u dhaqanto," Bambenek ayaa yidhi. "Su'aasha ugu weyni waxay tahay hay'ad sirdoon ayaa isticmaalaysay tan ka hor inta aan nuglaanta la shaacin."
Ciladda Log4j, oo sidoo kale loo yaqaan Log4Shell waxaana loola socdaa sida CVE-2021-44228, waa khatar weyn ballaaran awgeed Isticmaalka ganacsiga Log4j iyo tirada badan ee adeegayaasha iyo adeegyada daruuraha ku saleysan taas oo soo bandhigi karta dayacanka nooca eber. Log4j, oo ah aalad il furan oo bilaash ah oo si ballaaran loo qaybiyay oo ka timid Apache Software Foundation, waa aaladda wax lagu qoro oo cilladdu waxay saamaysaa nooca 2.0 illaa 2.14.1.
Xirfadlayaasha amniga ayaa sheegay in khatarta Log4Shell ay aad u sarayso ma aha oo kaliya baaxadda awgeed isticmaalka qalabka, laakiin sidoo kale sababtoo ah si sahlan oo looga faa'iidaysan karo nuglaanta. Jilayaasha hanjabaada waxay u baahan yihiin oo kaliya inay soo gudbiyaan xadhig ka kooban koodka xaasidnimada ah, kaas oo la falanqeeyay oo uu galiyay Log4j oo lagu shubay serfarka. Kadibna tuugadu waxay awood u yeelan karaan inay gacanta ku dhigaan
Warka sheegaya in jabsadayaasha Iran ay ka faa'ideysanayeen dayacanka Log4j ayaa yimid iyadoo Taliska Mareykanka ee Cyber Command's National Cyber Mission Force uu shaaca ka qaaday inay aqoonsadeen dhowr qalab oo il furan oo wakiilada sirdoonka Iran ay u adeegsadaan shabakadaha qof walba.
Siideyntan ayaa la xiriirta koox ay maalgalisay dowladda Iran oo lagu magacaabo "MuddyWater."
Kooxdan ayaa lala xiriiriyay wasaaradda sirdoonka iyo amniga Iran oo ay ugu horreyso bartilmaameedyada wadamada kale ee Bariga Dhexe iyo, mararka qaar, wadamada Yurub iyo Waqooyiga Ameerika.
Haddii aad rabto inaad waxbadan ka ogaato, waad hubin kartaa faahfaahinta Xiriirka soo socda.