Se dio a conocer la noticia de que hace poco detectaron a un grupo de hackers patrocinado por el estado iraní los cuales están explotando activamente las vulnerabilidades en Apache Log4j para distribuir un nuevo conjunto de herramientas modular de PowerShell.
Detallado por investigadores de Check Point Software Technologies, el grupo de hackers APT35, también conocido como Phosphorous and Charming Kitten, fue detectado por primera vez explotando Log4j solo cuatro días después de que se revelara la primera vulnerabilidad.
La configuración del ataque se describe como apresurada, ya que el grupo usó únicamente un kit básico de explotación JNDI de código abierto.
Habiendo obtenido acceso a un servicio vulnerable, los hackers iraníes incluyeron un nuevo marco modular basado en PowerShell que se denominó «CharmPower». El script se utiliza para establecer la persistencia, recopilar información y ejecutar comandos.
CharmPower tiene cuatro módulos iniciales principales:
- El primero valida una conexión de red
- El segundo recopila información básica del sistema, como la versión de Windows, el nombre de la computadora y el contenido de varios archivos del sistema.
- El tercer módulo decodifica el dominio de comando y control recuperado de una URL codificada almacenada en un depósito S3 de Amazon Web Services Inc
- Mientras que el módulo final recibe, descifra y ejecuta los módulos de seguimiento.
Según la información recopilada por la implementación inicial, APT35 luego implementa módulos personalizados adicionales para facilitar el robo de datos y ocultar su presencia en la máquina infectada.
APT35 es un conocido grupo de hackers que estuvo relacionado con ataques en 2020 contra la campaña de Trump, funcionarios actuales y anteriores del gobierno de EE. UU., periodistas que cubren la política mundial y destacados iraníes que viven fuera de Irán. El grupo también apuntó a la Conferencia de Seguridad de Munich ese mismo año.
“La investigación que relaciona la explotación de Log4Shell con el APT Charming Kitten iraní coincide, y de alguna manera entra en conflicto, con una declaración hecha por la Agencia de Seguridad e Infraestructura de Ciberseguridad de EE. UU. el 10 de enero que sugería que no había habido intrusiones significativas relacionadas con el error en ese momento”.
“Esto probablemente enfatiza los problemas actuales con la divulgación y transparencia de incidentes, y el retraso que puede existir entre la actividad del actor de amenazas y el descubrimiento.
John Bambenek, principal cazador de amenazas de la empresa de administración de servicios de tecnología de la información Netenrich Inc. , dijo que no es sorprendente que los actores de segundo nivel del estado-nación aprovechen la oportunidad presentada por la vulnerabilidad log4j de manera apresurada.
“Cualquier hazaña de esta gravedad sería aprovechada por cualquiera que busque un punto de apoyo rápido y, a veces, se abren ventanas tácticas como esta, lo que significa que hay que actuar con rapidez”, dijo Bambenek. “La pregunta más importante es qué agencia de inteligencia estaba usando esto antes de que se hiciera pública la vulnerabilidad”.
La falla de Log4j, que también se conoce como Log4Shell y se rastrea como CVE-2021-44228, es una amenaza importante debido al amplio uso empresarial de Log4j y la gran cantidad de servidores y servicios basados en la nube que podrían estar expuestos vulnerabilidades del tipo zeroday. Log4j, una herramienta de código abierto gratuita y ampliamente distribuida de Apache Software Foundation, es una herramienta de registro y la falla afecta a la versión 2.0 a la 2.14.1.
Los profesionales de la seguridad han dicho que la amenaza que representa Log4Shell es tan alta no solo por el alcance del uso de la herramienta, sino también por la facilidad con la que se puede explotar la vulnerabilidad. Los actores de amenazas solo necesitan enviar una cadena que incluya el código malicioso, que Log4j analiza y registra y carga en un servidor. Luego, los piratas informáticos pueden obtener el control d
La noticia de que los hackers iraníes estaban explotando las vulnerabilidades de Log4j se produjo cuando la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. reveló que había identificado varias herramientas de código abierto que los agentes de inteligencia iraníes están utilizando en redes de todo el mundo.
La divulgación se relaciona con un grupo de hackers patrocinado por el estado iraní denominado “MuddyWater”.
El grupo ha estado vinculado al Ministerio de Inteligencia y Seguridad de Irán y se dirige principalmente a otras naciones en el Medio Oriente y, en ocasiones, a países de Europa y América del Norte.
Si quieres conocer más al respecto, puedes consultar los detalles en el siguiente enlace.