Geçenlerde bir haber çıktı İran devlet destekli hacker grubu tespit edildi hangileri aktif olarak sömürüyorlar güvenlik açıkları apachelog4j yeni bir modüler PowerShell araç seti dağıtmak için.
Check Point Software Technologies'deki araştırmacılar tarafından detaylandırıldı, Phosphorous and Charming Kitten olarak da bilinen APT35 hacker grubu, ilk güvenlik açığının açıklanmasından sadece dört gün sonra Log4j'den yararlanırken tespit edildi.
saldırı kurulumu acele olarak tarif gruptan beri yalnızca temel bir açık kaynak JNDI yararlanma kiti kullandı.
Güvenlik açığı bulunan bir hizmete erişim elde eden kullanıcılar, İranlı bilgisayar korsanları, PowerShel tabanlı yeni bir modüler çerçeve ekledihangisi arandı "Cazibe Gücü". Komut, kalıcılık sağlamak, bilgi toplamak ve komutları yürütmek için kullanılır.
ÇekicilikGüç dört ana başlangıç modülüne sahiptir:
- İlki bir ağ bağlantısını doğrular
- İkincisi, Windows sürümü, bilgisayarın adı ve çeşitli sistem dosyalarının içeriği gibi temel sistem bilgilerini toplar.
- Üçüncü modül, bir Amazon Web Services Inc S3 kovasında depolanan kodlanmış bir URL'den alınan komut ve kontrol etki alanının kodunu çözer.
- Takip eden modül, izleme modüllerini alırken, şifresini çözer ve yürütür.
Según toplanan bilgiler ilk uygulamaya göre, APT35 daha sonra ek özel modüller uygulayın veri hırsızlığını kolaylaştırmak ve virüslü makinedeki varlıklarını gizlemek için.
APT35, 2020'de Trump kampanyasına, mevcut ve eski ABD hükümet yetkililerine, dünya siyasetiyle ilgili gazetecilere ve İran dışında yaşayan önde gelen İranlılara yönelik saldırılarla bağlantılı tanınmış bir hacker grubudur. Grup aynı yıl Münih Güvenlik Konferansı'nı da hedef aldı.
"Log4Shell istismarını İran'ın Büyüleyici Kitten APT'sine bağlayan soruşturma, ABD Siber Güvenlik Altyapı ve Güvenlik Ajansı tarafından 10 Ocak'ta yapılan ve bu hatayla ilgili önemli bir izinsiz giriş olmadığını öne süren bir açıklamayla örtüşüyor ve bir şekilde onunla çelişiyor. zaman."
“Bu, muhtemelen olay ifşası ve şeffaflıkla ilgili mevcut sorunların ve tehdit aktörü faaliyeti ile keşif arasında var olabilecek gecikmenin altını çiziyor.
Bilgi teknolojisi hizmetleri yönetim şirketi Netenrich Inc.'in baş tehdit avcısı John Bambinek, ikinci kademe ulus devlet aktörlerinin log4j güvenlik açığının sunduğu fırsatı bir anda yakalamasının şaşırtıcı olmadığını söyledi.
Bambinek, "Bu ciddiyetteki herhangi bir başarı, hızlı bir dayanak arayan herkes tarafından istismar edilebilir ve bazen bunun gibi taktik pencereler açılır, bu da hızlı hareket etmeniz gerektiği anlamına gelir." Dedi. "Daha büyük soru, güvenlik açığı kamuya açıklanmadan önce hangi istihbarat teşkilatının bunu kullandığıdır."
olarak da bilinen Log4j kusuru Log4Shell ve CVE-2021-44228 olarak izlenir, büyük bir tehdittir geniş nedeniyle Log4j'nin kurumsal kullanımı ve çok sayıda sunucu ve bulut tabanlı hizmet sıfır gün tipi güvenlik açıklarına maruz kalabilir. Apache Software Foundation'dan ücretsiz ve yaygın olarak dağıtılan bir açık kaynak aracı olan Log4j, bir günlük kaydı aracıdır ve kusur, 2.0 ile 2.14.1 arasındaki sürümleri etkiler.
güvenlik uzmanları Log4Shell'in oluşturduğu tehdidin yalnızca kapsam nedeniyle değil, çok yüksek olduğunu söylediler aletin kullanımı, ama aynı zamanda sömürülebilme kolaylığı nedeniyle güvenlik açığı. Tehdit aktörlerinin yalnızca Log4j'nin ayrıştırdığı ve günlüğe kaydettiği ve bir sunucuya yüklediği kötü amaçlı kodu içeren bir dize göndermesi gerekir. Bilgisayar korsanları daha sonra kontrolü ele geçirebilir.
İranlı bilgisayar korsanlarının Log4j güvenlik açıklarından yararlandığı haberi, ABD Siber Komutanlığı Ulusal Siber Görev Gücü'nün, İran istihbarat ajanlarının ağları hacklemek için kullandığı birkaç açık kaynak aracı tespit ettiğini açıklamasıyla geldi.
Açıklama, “MuddyWater” adlı İran devlet destekli bir hacker grubuyla ilgili.
Grup, İran'ın İstihbarat ve Güvenlik Bakanlığı ile bağlantılı ve öncelikle Orta Doğu'daki diğer ülkeleri ve bazen de Avrupa ve Kuzey Amerika'daki ülkeleri hedef alıyor.
Bununla ilgili daha fazla bilgi edinmek istiyorsanız, ayrıntıları kontrol edebilirsiniz. Aşağıdaki bağlantıda.