Attenzione! Attori di minacce che utilizzano Log4j per installare una nuova backdoor

Sembra che Log4j non andrà da nessuna parte nel 2022, proprio come il nuovo coronavirus. Il gatto è fuori dal sacco e si sta scatenando, senza alcun segno di fermarsi. Una recente analisi della società di sicurezza Check Point mostra che un attore di minacce sostenuto dallo stato noto con il nome di APT35 sta ora utilizzando Log4j per distribuire un nuovissimo toolkit dannoso che utilizza PowerShell.

Lo stesso attore di minacce è stato nominato Phosphorous dai ricercatori di sicurezza di Microsoft. Gli hacker sono considerati un gruppo iraniano sostenuto dallo stato. La scorsa settimana Microsoft ha avvertito che più attori di minacce sostenute dallo stato stanno già effettuando sondaggi su larga scala, alla ricerca di reti che hanno ancora esposto i sistemi vulnerabili di Log4j.

APT35 utilizza strumenti noti

La ricerca condotta da Check Point sull'ultimo caso APT35 mostra che gli hacker non erano particolarmente bravi nel loro lavoro. Il documento di ricerca chiama il loro vettore di attacco iniziale "affrettato", utilizzando uno strumento open source di base, precedentemente disponibile su GitHub, prima che venga rimosso.

Una volta che APT35 ottiene l'accesso, il gruppo installa una backdoor modulare basata su PowerShell per ottenere la persistenza sulla rete compromessa. Lo stesso strumento PowerShell viene utilizzato per comunicare con i server C2 e scaricare moduli dannosi aggiuntivi ed eseguire comandi.

Backdoor modulare utilizzato da APT35

Il modulo PowerShell estrae le informazioni sul sistema compromesso, quindi le invia al server di controllo. In base alla risposta che ottiene, il server può decidere di proseguire l'attacco, eseguendo moduli aggiuntivi in C# o PowerShell. Questi moduli aggiuntivi eseguono varie attività, come l'esfiltrazione di informazioni o la crittografia dei dati esistenti sulla rete.

La funzionalità non si ferma qui. Alcuni moduli consentono di acquisire schermate, alcuni monitorano i processi in background attivi e, infine, uno che pulisce qualsiasi traccia lasciata dalla scansione e gli altri moduli, uccidendo i loro processi.

Nonostante questa funzionalità apparentemente ricca del toolkit implementata oltre l'attacco iniziale, i ricercatori non hanno avuto un'ottima opinione di APT35. La ragione di ciò era che il gruppo di hacker utilizzava strumenti pubblici precedentemente noti che semplificavano il rilevamento e si affidava a un'infrastruttura server C2 già esistente che semplifica ulteriormente il monitoraggio della sicurezza e fa suonare campanelli d'allarme.

È abbastanza certo che sentiremo parlare di molti attacchi nuovi e sempre più creativi che abusano delle vulnerabilità di Log4j in un modo o nell'altro nel corso del 2022. Si spera che le aziende e gli sviluppatori di software e piattaforme lavoreranno mano nella mano e rapidamente, almeno per rimanere al passo e non restare indietro rispetto agli hacker.