احذر! يستخدم الفاعلون التهديد Log4j لتثبيت باب خلفي جديد

يبدو أن Log4j لن يذهب إلى أي مكان في عام 2022 ، مثل فيروس كورونا الجديد . خرجت القطة من الحقيبة وهي تجري في البرية دون أي علامات على التوقف. يُظهر تحليل حديث أجرته شركة الأمان Check Point أن جهة تهديد مدعومة من الدولة معروفة تحت المقبض APT35 تستخدم الآن Log4j لتوزيع مجموعة أدوات ضارة جديدة تمامًا تستخدم PowerShell.

قام باحثو الأمن في Microsoft بتسمية نفس عامل التهديد بالفوسفور. يعتبر المتسللون مجموعة إيرانية مدعومة من الدولة. حذرت Microsoft الأسبوع الماضي من العديد من الجهات الفاعلة في مجال التهديد المدعومة من الدولة والتي تقوم بالفعل بالتحقيق على نطاق واسع ، وتسعى إلى الشبكات التي لا تزال تكشف عن أنظمة Log4j الضعيفة .

يستخدم APT35 الأدوات المعروفة

يُظهر البحث الذي أجرته Check Point بشأن أحدث حالة APT35 أن المتسللين لم يكونوا جيدين بشكل خاص في عملهم. تصف الورقة البحثية ناقل الهجوم الأولي بأنه "متسرع" ، باستخدام أداة أساسية مفتوحة المصدر ، كانت متوفرة سابقًا على GitHub ، قبل إزالتها.

بمجرد حصول APT35 على حق الوصول ، تقوم المجموعة بتثبيت باب خلفي معياري قائم على PowerShell من أجل تحقيق الثبات على الشبكة المخترقة. تُستخدم أداة PowerShell نفسها للتواصل مع خوادم C2 وتنزيل وحدات ضارة إضافية وتشغيل أوامر.

باب خلفي معياري يستخدمه APT35

تقوم وحدة PowerShell بكشط المعلومات حول النظام المخترق ، ثم إرسالها مرة أخرى إلى خادم التحكم. بناءً على الاستجابة التي يتلقاها ، قد يقرر الخادم تعزيز الهجوم ، وتنفيذ وحدات نمطية إضافية في C # أو PowerShell . تؤدي هذه الوحدات الإضافية مهامًا مختلفة ، مثل استخراج المعلومات أو تشفير البيانات الموجودة على الشبكة.

الوظيفة لا تتوقف هنا. تسمح بعض الوحدات النمطية بالحصول على لقطات شاشة ، وبعض عمليات المراقبة النشطة في الخلفية ، وأخيراً ، وحدة تنظف أي أثر يتركه المسح ، والوحدات الأخرى ، مما يؤدي إلى قتل عملياتها.

على الرغم من هذه الوظيفة الغنية على ما يبدو لمجموعة الأدوات التي تم نشرها بعد الهجوم الأولي ، لم يفكر الباحثون كثيرًا في APT35. والسبب في ذلك هو أن مجموعة المتسللين استخدمت أدوات عامة معروفة سابقًا جعلت الاكتشاف سهلاً واعتمدت على بنية تحتية لخادم C2 موجودة بالفعل والتي تجعل الأمور أسهل للمراقبة الأمنية وتقرع أجراس الإنذار.

من المؤكد إلى حد ما أننا سنسمع عن العديد من الهجمات الأحدث والأكثر إبداعًا التي تسيء استخدام ثغرات Log4j بطريقة أو بأخرى طوال عام 2022. ونأمل أن يعمل مطورو الشركات والبرامج والمنصات جنبًا إلى جنب وبسرعة ، على الأقل للبقاء على وتيرة ولا تتخلف عن المتسللين.