İran devlet destekli bir aktörün, şimdiye kadar belgelenmemiş PowerShell tabanlı modüler bir arka kapı dağıtmak için halka açık Java uygulamalarında Log4Shell kusurunu taradığı ve kötüye kullanmaya çalıştığı gözlemlendi.ÇekicilikGüç“Sömürü sonrası takip için.
Check Point’ten araştırmacılar, “Sömürü için temel açık kaynak aracını kullandıkları ve operasyonlarını önceki altyapıya dayandırdıkları için, oyuncunun saldırı kurulumu açıkça aceleye getirildi, bu da saldırının tespit edilmesini ve ilişkilendirilmesini kolaylaştırdı.” söz konusu Bu hafta yayınlanan bir raporda.
İsrailli siber güvenlik şirketi, saldırıyı şu anda bilinen bir grupla ilişkilendirdi. APT35Ayrıca, daha önce tehdit aktörü tarafından kullanılan altyapı olarak tanımlanan araç setleriyle çakışmalara atıfta bulunarak Charming Kitten, Phosphorus ve TA453 kod adları kullanılarak izlenir.
Log4Shell aka CVE-2021-44228 (CVSS puanı: 10.0), popüler Log4j günlük kitaplığındaki, başarıyla kullanılırsa, güvenliği ihlal edilmiş sistemlerde rastgele kodun uzaktan yürütülmesine yol açabilecek kritik bir güvenlik açığıyla ilgilidir.
Log4j kütüphanesinin yaygın kullanımıyla birleşen sömürünün kolaylığı, son kamuya açıklanmasından bu yana baş döndürücü bir dizi saldırı gerçekleştirme fırsatını yakalayan kötü aktörler sürüsünü cezbetse bile, geniş bir hedef havuzu yarattı. ay.
Microsoft daha önce APT35’in Log4j istismarını edinme ve değiştirme çabalarına dikkat çekmiş olsa da, en son bulgular, bilgisayar korsanlığı grubunun, sonraki aşama modüllerini alabilen ve verileri bir komuta ve kontrole aktarabilen PowerShell implantını dağıtmak için kusuru operasyonel hale getirdiğini gösteriyor ( C2) sunucu.
CharmPower’ın modülleri ayrıca sistem bilgilerini toplama, kurulu uygulamaları listeleme, ekran görüntüleri alma, çalışan süreçleri numaralandırma, C2 sunucusundan gönderilen komutları yürütme ve bu bileşenler tarafından oluşturulan kanıt işaretlerini temizleme özellikleri de dahil olmak üzere çeşitli istihbarat toplama işlevlerini destekler.
Açıklama, Microsoft ve NHS’nin, VMware Horizon çalıştıran internete yönelik sistemlerin web kabuklarını ve NightSky adlı bir fidye yazılımı türünü dağıtmayı hedeflediği konusunda uyardığı sırada geldi. geçmişte LockFile, AtomSilo ve Rook fidye yazılımlarını da dağıttı.
Dahası, Çin dışında faaliyet gösteren bir başka tehdit aktörü grubu olan Hafnium’un da tipik hedeflemelerini genişletmek için sanallaştırma altyapısına saldırmak için güvenlik açığını kullandığı gözlemlendi, Microsoft kayıt edilmiş.
Araştırmacılar, “Log4j güvenlik açığından yararlanma yeteneklerine ve CharmPower arka kapısının kod parçalarına bakılırsa, aktörler vites değiştirebiliyor ve saldırılarının her aşaması için aktif olarak farklı uygulamalar geliştirebiliyor” dedi.
.
siber-2
