近日发布的消息是 他们发现了一群由伊朗政府赞助的黑客 哪些 正在积极开发 中的漏洞 apachelog4j 分发新的模块化 PowerShell 工具集。
由 Check Point Software Technologies 的研究人员详细介绍, APT35 黑客组织,也称为 Phosphorous 和 Charming Kitten,在第一个漏洞被披露四天后首次被发现利用 Log4j。
攻击设置 被描述为匆忙 自从组 它只使用了一个开源 JNDI 漏洞利用工具包。
在获得对易受攻击的服务的访问权限后,用户 伊朗黑客包括了一个基于 PowerShel 的新模块化框架什么叫 “魅力力量”。 该脚本用于建立持久性、收集信息和运行命令。
魅力力量 它有四个主要的初始模块:
- 第一个验证网络连接
- 第二个收集基本的系统信息,例如Windows的版本、计算机的名称以及各种系统文件的内容。
- 第三个模块解码从存储在 Amazon Web Services Inc S3 存储库中的编码 URL 检索的命令和控制域。
- 而尾随模块接收、解密和执行跟踪模块。
通过 收集的信息 对于初始部署,APT35 然后 实现额外的自定义模块 以促进数据盗窃并隐藏其在受感染机器上的存在。
APT35 是一个著名的黑客组织,与 2020 年对特朗普竞选团队、现任和前任美国政府官员、报道世界政治的记者以及居住在伊朗境外的知名伊朗人的攻击有关。 该组织还针对同年的慕尼黑安全会议。
“将 Log4Shell 的利用与伊朗 APT Charming Kitten 联系起来的调查与美国网络安全基础设施和安全局 10 月 XNUMX 日发表的声明不谋而合,并且在某种程度上存在冲突,该声明表明当时没有与该漏洞相关的重大入侵。时间。 ”
“这可能突显了当前的事件披露和透明度问题,以及威胁参与者活动和发现之间可能存在的滞后。
信息技术服务管理公司 Netenrich Inc. 的首席威胁猎手 John Bambenek 表示,二线国家行动者匆忙抓住 log4j 漏洞带来的机会并不奇怪。
“任何寻求快速立足点的人都会利用这种重力的壮举,有时像这样的战术窗口会打开,这意味着你必须迅速采取行动,”班贝内克说。 “更大的问题是,在漏洞公开之前,哪个情报机构正在使用它。”
Log4j 缺陷,也称为 Log4Shell 它被跟踪为 CVE-2021-44228, 是主要威胁 由于广 Log4j 和大量基于云的服务器和服务的业务使用 这可能会暴露零日类型的漏洞。 Log4j 是 Apache 软件基金会提供的免费且广泛分发的开源工具,是一种日志记录工具,该漏洞影响 2.0 至 2.14.1 版本。
安全专家 曾经说过,Log4Shell 造成的威胁如此之大,不仅仅是因为范围 该工具的使用, 但也因为它可以很容易地被利用 脆弱性。 威胁者只需提交一个包含恶意代码的字符串,由 Log4j 分析和记录并上传到服务器。 然后黑客可以控制
伊朗黑客正在利用 Log4j 漏洞的消息传出之际,美国网络司令部的国家网络任务部队透露,它已经确定了伊朗情报人员在黑客网络上使用的几个开源工具。
该披露涉及一个名为“MuddyWater”的伊朗国家赞助的黑客组织。
该组织与伊朗情报和安全部有联系,主要针对中东其他国家,有时甚至是欧洲和北美国家。
如果您想了解更多信息,可以查看详细信息 在下面的链接中。