Pas på! Trusselskuespillere bruger Log4j til at installere ny bagdør

Det ser ud til, at Log4j ikke går nogen steder i 2022, ligesom den nye coronavirus. Katten er ude af sækken, og den løber vildt, uden tegn på at stoppe. En nylig analyse fra sikkerhedsfirmaet Check Point viser, at en statsstøttet trusselsaktør kendt under håndtaget APT35 nu bruger Log4j til at distribuere et helt nyt ondsindet værktøjssæt, der bruger PowerShell.

Den samme trusselsaktør er blevet udnævnt til fosfor af Microsofts sikkerhedsforskere. Hackerne anses for at være en statsstøttet iransk gruppe. I sidste uge advarede Microsoft om adskillige statsstøttede trusselsaktører, der allerede laver storskala sondering og søger netværk, der stadig har afsløret Log4j sårbare systemer.

APT35 bruger kendte værktøjer

Den undersøgelse, Check Point foretog i den seneste APT35-sag, viser, at hackerne ikke var særlig gode til deres arbejde. Forskningspapiret kalder deres indledende angrebsvektor "forhastet", ved hjælp af et grundlæggende open source-værktøj, tidligere tilgængeligt på GitHub, før det fjernes.

Når APT35 får adgang, installerer gruppen en modulær bagdør baseret på PowerShell for at opnå vedholdenhed på det kompromitterede netværk. Det samme PowerShell-værktøj bruges til at kommunikere med C2-serverne og downloade ekstra ondsindede moduler og køre kommandoer.

Modulær bagdør Brugt af APT35

PowerShell-modulet skraber information om det kompromitterede system og sender det derefter tilbage til kontrolserveren. Baseret på det svar, den får, kan serveren beslutte at fremme angrebet ved at udføre yderligere moduler i C# eller PowerShell. Disse ekstra moduler udfører forskellige opgaver, såsom eksfiltrering af information eller kryptering af eksisterende data på netværket.

Funktionaliteten stopper ikke her. Nogle moduler giver mulighed for at få fat i skærmbilleder, nogle overvåger aktive baggrundsprocesser, og endelig en, der renser spor efterladt af scanningen, og de andre moduler, dræber deres processer.

På trods af denne tilsyneladende rige funktionalitet af værktøjssættet, der blev implementeret ud over det indledende angreb, tænkte forskerne ikke for højt på APT35. Årsagen til dette var, at hackergruppen brugte tidligere kendte offentlige værktøjer, der gjorde detektion let og var afhængig af en allerede eksisterende C2-serverinfrastruktur, der yderligere gør tingene lettere for sikkerhedsovervågning og ringer alarmklokker.

Det er ret sikkert, at vi vil høre om mange nyere og stadig mere kreative angreb, der misbruger Log4j sårbarheder på den ene eller anden måde i løbet af 2022. Forhåbentlig vil virksomheder og software- og platformsudviklere arbejde hånd i hånd og hurtigt for i det mindste at holde tempoet. og halter ikke bagefter hackerne.