İranlı devlet destekli aktörler, İsrail varlıklarını hedef almak için Log4j çalıştıran yama uygulanmamış sistemlerden yararlanmak için çevrilmemiş bir taş bırakmıyor, bu da güvenlik açığının giderilmesi için uzun bir kuyruk olduğunu gösteriyor.
Microsoft, en son faaliyet grubunu, İran istihbarat aygıtı olan İstihbarat ve Güvenlik Bakanlığı (MOIS) ile bağlantılı MuddyWater (aka Cobalt Ulster, Mercury, Seedworm veya Static Kitten) olarak izlenen şemsiye tehdit grubuna bağladı.
Saldırılar, ilk erişim için bir vektör olarak Log4Shell kusuruna karşı güvenli olmayan SysAid Sunucu örneklerini kullanmak için dikkate değerdir ve aktörlerin hedef ortamları ihlal etmek için VMware uygulamalarından yararlanma modelinden bir ayrılmayı işaret eder.
“Erişim kazandıktan sonra, Mercury kalıcılık sağlar, kimlik bilgilerini boşaltır ve hem özel hem de iyi bilinen bilgisayar korsanlığı araçlarını ve ayrıca klavyeden uygulamalı saldırı için yerleşik işletim sistemi araçlarını kullanarak hedeflenen kuruluş içinde yanal olarak hareket eder,” Microsoft söz konusu.
Teknoloji devinin tehdit istihbarat ekibi, saldırıları 23-25 Temmuz 2022 tarihleri arasında gözlemlediklerini söyledi.
Başarılı bir uzlaşmanın ardından, aktörün keşif yapmasına, kalıcılık oluşturmasına, kimlik bilgilerini çalmasına ve yanal hareketi kolaylaştırmasına izin veren komutları yürütmek için web kabuklarının konuşlandırılmasının geldiği söyleniyor.
Ayrıca izinsiz girişler sırasında komut ve kontrol (C2) iletişimi için kullanılan bir uzaktan izleme ve yönetim yazılımıdır. eHorus ve rakip için tercih edilen bir ters tünel açma aracı olan Ligolo.
Bulgular, ABD İç Güvenlik Bakanlığı’nın Siber Güvenlik İnceleme Kurulu (CSRB) olarak geldi. kabul açık kaynaklı Java tabanlı günlük kaydı çerçevesindeki kritik güvenlik açığı, sömürü geliştikçe kuruluşları yıllarca rahatsız etmeye devam edecek yaygın bir zayıflık.
Log4j’ler geniş kullanım Birçok tedarikçinin yazılım ve hizmetlerinde, ulus-devlet aktörleri ve emtia operatörleri gibi karmaşık düşmanların fırsatçı bir şekilde güvenlik açığından yararlanarak çok sayıda saldırı düzenleyecekleri anlamına gelir.
Log4Shell saldırıları aynı zamanda Mandiant’ın, UNC3890 adlı olası bir İran korsan grubu tarafından İsrail denizcilik, hükümet, enerji ve sağlık kuruluşlarına yönelik bir casusluk kampanyasını detaylandıran yakın tarihli bir raporunu da takip ediyor.