खबरदार! नए पिछले दरवाजे को स्थापित करने के लिए Log4j का उपयोग करने वाले खतरनाक अभिनेता
ऐसा लगता है कि Log4j 2022 में कहीं नहीं जा रहा है, बहुत कुछ उपन्यास कोरोनवायरस की तरह। बिल्ली बैग से बाहर हो गई है और वह जंगली चल रही है, रुकने का कोई संकेत नहीं है। सुरक्षा फर्म चेक प्वाइंट के एक हालिया विश्लेषण से पता चलता है कि APT 35 हैंडल के तहत जाना जाने वाला एक राज्य समर्थित खतरा अभिनेता अब पावरशेल का उपयोग करने वाले ब्रांड-नई दुर्भावनापूर्ण टूलकिट को वितरित करने के लिए Log4j का उपयोग कर रहा है।
इसी खतरे वाले अभिनेता को माइक्रोसॉफ्ट के सुरक्षा शोधकर्ताओं ने फॉस्फोरस नाम दिया है। हैकर्स को राज्य समर्थित ईरानी समूह माना जाता है। पिछले हफ्ते माइक्रोसॉफ्ट ने कई राज्य समर्थित खतरे वाले अभिनेताओं के बारे में चेतावनी दी थी जो पहले से ही बड़े पैमाने पर जांच कर रहे हैं, ऐसे नेटवर्क की तलाश कर रहे हैं जो अभी भी Log4j कमजोर सिस्टम को उजागर कर चुके हैं ।
APT35 ज्ञात उपकरणों का उपयोग करता है
नवीनतम APT35 मामले पर किए गए शोध चेक प्वाइंट से पता चलता है कि हैकर्स अपने काम में विशेष रूप से अच्छे नहीं थे। शोध पत्र उनके प्रारंभिक हमले के वेक्टर को "रश्ड" कहता है, एक बुनियादी ओपन-सोर्स टूल का उपयोग करते हुए, जो पहले गिटहब पर उपलब्ध था, इसे टेकडाउन करने से पहले।
एक बार APT35 को पहुंच प्राप्त हो जाने के बाद, समूह समझौता किए गए नेटवर्क पर दृढ़ता प्राप्त करने के लिए पॉवरशेल पर आधारित एक मॉड्यूलर पिछले दरवाजे को स्थापित करता है। समान पॉवरशेल टूल का उपयोग C2 सर्वर के साथ संचार करने और अतिरिक्त दुर्भावनापूर्ण मॉड्यूल डाउनलोड करने और कमांड चलाने के लिए किया जाता है।
APT35 . द्वारा प्रयुक्त मॉड्यूलर बैकडोर
पावरशेल मॉड्यूल समझौता किए गए सिस्टम के बारे में जानकारी को स्क्रैप करता है, फिर इसे नियंत्रण सर्वर पर वापस भेजता है। इसे मिलने वाली प्रतिक्रिया के आधार पर, सर्वर C# या PowerShell में अतिरिक्त मॉड्यूल निष्पादित करते हुए, हमले को आगे बढ़ाने का निर्णय ले सकता है। वे अतिरिक्त मॉड्यूल विभिन्न कार्य करते हैं, जैसे कि जानकारी को बाहर निकालना या नेटवर्क पर मौजूदा डेटा को एन्क्रिप्ट करना।
कार्यक्षमता यहीं नहीं रुकती। कुछ मॉड्यूल स्क्रीनशॉट को हथियाने की अनुमति देते हैं, कुछ सक्रिय पृष्ठभूमि प्रक्रियाओं की निगरानी करते हैं, और अंत में, एक जो स्कैनिंग द्वारा छोड़े गए किसी भी निशान को साफ करता है, और अन्य मॉड्यूल, उनकी प्रक्रियाओं को मारते हैं।
प्रारंभिक हमले से परे तैनात टूलकिट की इस समृद्ध कार्यक्षमता के बावजूद, शोधकर्ताओं ने APT35 के बारे में बहुत अधिक नहीं सोचा। इसका कारण यह था कि हैकर समूह ने पहले से ज्ञात सार्वजनिक उपकरणों का उपयोग किया था, जिससे पता लगाना आसान हो गया था और पहले से मौजूद C2 सर्वर इन्फ्रास्ट्रक्चर पर निर्भर था जो सुरक्षा निगरानी के लिए चीजों को आसान बनाता है और खतरे की घंटी बजाता है।
यह काफी हद तक निश्चित है कि हम 2022 के दौरान Log4j कमजोरियों का दुरुपयोग करने वाले कई नए और तेजी से अधिक रचनात्मक हमलों के बारे में सुनेंगे। उम्मीद है कि कंपनियां और सॉफ्टवेयर और प्लेटफॉर्म डेवलपर्स कम से कम गति पर बने रहने के लिए हाथ से और जल्दी से काम करेंगे। और हैकर्स से पीछे न रहें।