Şimdiye kadar keşfedilmiş en büyük ve potansiyel olarak en yıkıcı güvenlik açıklarından biri olan Log4Shell, ilk gözlemlenmesinin ve yamalanmasının üzerinden yarım yıldan fazla bir süre geçtikten sonra hala tehdit aktörleri tarafından kullanılıyor.
Microsoft Tehdit İstihbarat Merkezi’nden (MSTIC) ve Microsoft 365 Defender Araştırma Ekibinden yeni bir rapor, yakın zamanda keşfedilen MERCURY (MuddyWater olarak da bilinir) olarak bilinen tehdit aktörlerinin tümü İsrail’de bulunan kuruluşlara karşı Log4Shell’den yararlandığını söyledi. MERCURY’nin, İran İstihbarat ve Güvenlik Bakanlığı’nın doğrudan komutası altında, İran’dan devlet destekli bir tehdit aktörü olduğuna inanılıyor.
Suçlular, nispeten yeni bir yaklaşım olan SysAid uygulamalarındaki kusuru kullandılar, ekipler şunları söyledi: “MERCURY, geçmişte savunmasız VMware uygulamaları gibi Log4j 2 istismarlarını kullanmış olsa da, bu aktörün SysAid uygulamalarını kullandığını görmedik. şimdiye kadar ilk erişim için vektör.”
Kalıcılık sağlama, veri çalma
Grup, hedef uç noktalara erişim sağlamak için Lof4Shell’i kullanıyor ve onlara birkaç komutu yürütme yeteneği veren web kabuklarını bırakıyor. Çoğu keşif amaçlıdır, ancak bir tanesi daha fazla bilgisayar korsanlığı aracı indirir.
Hedef uç noktalara erişmek için Log4Shell’i kullandıktan sonra (yeni sekmede açılır)Microsoft, MERCURY’nin kalıcılık oluşturduğunu, kimlik bilgilerini boşalttığını ve hedef ağ boyunca yanal olarak hareket ettiğini söylüyor.
Güvenliği ihlal edilmiş sisteme yeni bir yönetici hesabı ekler ve kaldıraçlı yazılım ekler (yeni sekmede açılır) yeniden başlatmadan sonra bile kalıcılığı sağlamak için başlangıç klasörlerinde ve ASEP kayıt defteri anahtarlarında.
MERCURY tehdidini azaltmak için Microsoft, kuruluşun SysAid kullanıp kullanmadığının kontrol edilmesi ve güvenlik yamalarının uygulanması dahil olmak üzere bir dizi güvenlik hususunun benimsenmesini önerir. (yeni sekmede açılır) ve varsa güncellemeler.
Kuruluşlar, bulunan uzlaşma tablosu göstergelerinde belirtilen IP adreslerinden gelen trafiği de engellemelidir. burada (yeni sekmede açılır). Uzaktan erişim altyapısı için tüm kimlik doğrulama etkinlikleri gözden geçirilmeli ve BT ekipleri çoğunlukla tek faktörlü kimlik doğrulamayla yapılandırılmış hesaplara odaklanmalıdır. Son olarak, mümkün olan her yerde çok faktörlü kimlik doğrulamanın (MFA) etkinleştirilmesi gerekir.