Ole varuillasi! Uhkatoimijat käyttävät Log4j:tä uuden takaoven asentamiseen

Näyttää siltä, että Log4j ei etene mihinkään vuonna 2022, aivan kuten uusi koronavirus. Kissa on ulos pussista ja se juoksee villiin ilman merkkejä pysähtymisestä. Turvayrityksen Check Pointin äskettäinen analyysi osoittaa, että valtion tukema uhkatekijä, joka tunnetaan kahvan APT35 alla, käyttää nyt Log4j:tä upouuden haitallisen PowerShellia käyttävän työkalupaketin levittämiseen.

Microsoftin tietoturvatutkijat ovat antaneet saman uhkatekijän nimeksi Phosphorous. Hakkereita pidetään valtion tukemana iranilaisena ryhmänä. Viime viikolla Microsoft varoitti useista valtion tukemista uhkatoimijoista, jotka jo tekevät laajamittaista luotainta etsiessään verkkoja, jotka ovat edelleen paljastaneet Log4j:n haavoittuvia järjestelmiä.

APT35 käyttää tunnettuja työkaluja

Check Pointin viimeisimmässä APT35-tapauksessa tekemä tutkimus osoittaa, että hakkerit eivät olleet erityisen hyviä työssään. Tutkimuspaperi kutsuu heidän alkuperäistä hyökkäysvektoriaan "kiiretyksi" käyttämällä avoimen lähdekoodin perustyökalua, joka oli aiemmin saatavilla GitHubissa, ennen kuin se poistetaan.

Kun APT35 saa pääsyn, ryhmä asentaa PowerShelliin perustuvan modulaarisen takaoven saavuttaakseen pysyvyyden vaarantuneessa verkossa. Samaa PowerShell-työkalua käytetään viestimään C2-palvelimien kanssa ja lataamaan ylimääräisiä haitallisia moduuleja ja suorittamaan komentoja.

APT35:n käyttämä modulaarinen takaovi

PowerShell-moduuli kaapii tietoja vaarantuneesta järjestelmästä ja lähettää sen sitten takaisin ohjauspalvelimelle. Saamansa vastauksen perusteella palvelin voi päättää edistää hyökkäystä suorittamalla lisämoduuleja C#- tai PowerShellissä. Nämä lisämoduulit suorittavat erilaisia tehtäviä, kuten tietojen suodattamisen tai verkon olemassa olevien tietojen salaamisen.

Toimivuus ei lopu tähän. Jotkut moduulit mahdollistavat kuvakaappausten ottamisen, jotkut valvovat aktiivisia taustaprosesseja ja lopuksi sellaisen, joka puhdistaa skannauksen jättämät jäljet, ja toiset moduulit tappaen niiden prosessit.

Huolimatta tästä näennäisesti runsaasta työkalupakin toimivuudesta, joka otettiin käyttöön alkuperäisen hyökkäyksen jälkeen, tutkijat eivät pitäneet APT35:tä liian korkealla. Syynä tähän oli se, että hakkeriryhmä käytti aiemmin tunnettuja julkisia työkaluja, jotka tekivät havaitsemisesta helppoa, ja luotti jo olemassa olevaan C2-palvelininfrastruktuuriin, joka helpottaa entisestään turvallisuuden valvontaa ja soittaa hälytyskelloja.

On melko varmaa, että vuoden 2022 aikana kuulemme monista uudemmista ja yhä luovemmista Log4j-haavoittuvuuksia väärinkäyttävistä hyökkäyksistä vuoden 2022 aikana. Toivottavasti yritykset sekä ohjelmisto- ja alustakehittäjät työskentelevät käsi kädessä ja nopeasti, ainakin pysyäkseen vauhdissa äläkä jää jälkeen hakkereista.