Внимание! Злонамерени актьори използват Log4j за инсталиране на нов бекдор
Изглежда, че Log4j няма да отиде никъде през 2022 г., подобно на новия коронавирус. Котката е излязла от чантата и обикаля наоколо, без признаци на спиране. Скорошен анализ на фирмата за сигурност Check Point показва, че поддържана от държавата заплашителна група, известна като APT35, сега използва Log4j за разпространение на чисто нов злонамерен инструментариум, който използва PowerShell.
Същият злонамерен актьор е наречен Phosphorous от изследователите на сигурността на Microsoft. Хакерите се смятат за подкрепяна от държавата иранска група. Миналата седмица Microsoft предупреди за множество подкрепяни от държавата заплахи, които вече извършват мащабни проучвания, търсейки мрежи, които все още са разкрили уязвими системи Log4j.
APT35 използва известни инструменти
Изследването на Check Point за последния случай на APT35 показва, че хакерите не са били особено добри в работата си. Изследователската статия нарича техния първоначален вектор на атака „прибързана“, използвайки основен инструмент с отворен код, който преди е бил достъпен в GitHub, преди да бъде свален.
След като APT35 получи достъп, групата инсталира модулен бекдор, базиран на PowerShell, за да постигне устойчивост в компрометираната мрежа. Същият инструмент PowerShell се използва за комуникация със сървърите C2 и изтегляне на допълнителни злонамерени модули и изпълнение на команди.
Модулна задна врата, използвана от APT35
Модулът PowerShell изпива информация за компрометираната система, след което я изпраща обратно на контролния сървър. Въз основа на отговора, който получава, сървърът може да реши да продължи атаката, като изпълни допълнителни модули в C# или PowerShell. Тези допълнителни модули изпълняват различни задачи, като ексфилтриране на информация или криптиране на съществуващи данни в мрежата.
Функционалността не спира до тук. Някои модули позволяват заснемане на екранни снимки, някои наблюдават активни фонови процеси и накрая, един, който почиства всяка следа, оставена от сканирането, а другите модули убиват процесите им.
Въпреки тази привидно богата функционалност на инструментариума, разгърнат след първоначалната атака, изследователите не са имали твърде високо мнение за APT35. Причината за това е, че хакерската група използва известни по-рано публични инструменти, които правят откриването лесно и разчита на вече съществуваща C2 сървърна инфраструктура, която допълнително улеснява нещата за наблюдение на сигурността и бие аларма.
Съвсем сигурно е, че ще чуем за много по-нови и все по-креативни атаки, които злоупотребяват с уязвимостите на Log4j по един или друг начин през 2022 г. Да се надяваме, че компаниите и разработчиците на софтуери и платформи ще работят ръка за ръка бързо, за да не изостават от темпото на хакерите.