Pozor! Ohrožující aktéry používající Log4j k instalaci nových zadních vrátek

Zdá se, že Log4j se v roce 2022 nikam nepohne, podobně jako nový koronavirus. Kočka je vytažená z pytle a divoce pobíhá, bez známek zastavení. Nedávná analýza bezpečnostní firmy Check Point ukazuje, že státem podporovaný aktér hrozeb známý pod popisovačem APT35 nyní používá Log4j k distribuci zcela nové sady škodlivých nástrojů, která používá PowerShell.

Bezpečnostní výzkumníci Microsoftu pojmenovali stejného aktéra hrozby Phosphorous. Hackeři jsou považováni za státem podporovanou íránskou skupinu. Minulý týden Microsoft varoval před několika státem podporovanými hrozbami, které již provádějí rozsáhlé průzkumy a hledají sítě, které stále odhalily zranitelné systémy Log4j.

APT35 používá známé nástroje

Průzkum, který Check Point provedl na nejnovějším případu APT35, ukazuje, že hackeři nebyli ve své práci nijak zvlášť dobří. Výzkumný dokument nazývá jejich počáteční útočný vektor „rushed“ pomocí základního open-source nástroje, dříve dostupného na GitHubu, než dojde k jeho odstranění.

Jakmile APT35 získá přístup, skupina nainstaluje modulární zadní vrátka založená na PowerShell, aby dosáhla perzistence v ohrožené síti. Stejný nástroj PowerShell se používá ke komunikaci se servery C2 a stahování dalších škodlivých modulů a spouštění příkazů.

Modulární zadní vrátka používaná APT35

Modul PowerShell seškrábe informace o napadeném systému a poté je odešle zpět na řídicí server. Na základě odezvy, kterou dostane, se server může rozhodnout pokračovat v útoku spuštěním dalších modulů v C# nebo PowerShell. Tyto extra moduly provádějí různé úkoly, jako je exfiltrace informací nebo šifrování existujících dat v síti.

Funkčnost zde nekončí. Některé moduly umožňují pořizovat snímky obrazovky, některé monitorují aktivní procesy na pozadí a nakonec jeden, který čistí veškeré stopy zanechané skenováním, a ostatní moduly zabíjejí jejich procesy.

Navzdory této zdánlivě bohaté funkčnosti sady nástrojů nasazené po počátečním útoku si výzkumníci o APT35 příliš nemysleli. Důvodem bylo to, že skupina hackerů používala dříve známé veřejné nástroje, které usnadňovaly detekci, a spoléhala na již existující infrastrukturu serveru C2, která dále usnadňuje monitorování zabezpečení a zvoní na poplach.

Je poměrně jisté, že v průběhu roku 2022 uslyšíme o mnoha novějších a stále kreativnějších útocích zneužívajících zranitelnosti Log4j tak či onak. Doufejme, že společnosti a vývojáři softwaru a platforem budou pracovat ruku v ruce a rychle, aby alespoň zůstali v tempu a nezůstávejte za hackery.