Pass på! Trusselaktører som bruker Log4j for å installere ny bakdør

Det ser ut til at Log4j ikke kommer noe sted i 2022, omtrent som det nye koronaviruset. Katten er ute av sekken og løper løpsk, uten tegn til å stoppe. En fersk analyse fra sikkerhetsfirmaet Check Point viser at en statsstøttet trusselaktør kjent under håndtaket APT35 nå bruker Log4j til å distribuere et splitter nytt ondsinnet verktøysett som bruker PowerShell.

Den samme trusselaktøren har fått navnet Fosfor av Microsofts sikkerhetsforskere. Hackerne anses å være en statsstøttet iransk gruppe. Forrige uke advarte Microsoft om flere statsstøttede trusselaktører som allerede gjør storskala sondering, og søker nettverk som fortsatt har avslørt Log4j sårbare systemer.

APT35 bruker kjente verktøy

Undersøkelsen Check Point gjorde på den siste APT35-saken viser at hackerne ikke var spesielt gode i jobben sin. Forskningsoppgaven kaller deres første angrepsvektor "rushed", ved å bruke et grunnleggende åpen kildekodeverktøy, tidligere tilgjengelig på GitHub, før det fjernes.

Når APT35 får tilgang, installerer gruppen en modulær bakdør basert på PowerShell for å oppnå utholdenhet på det kompromitterte nettverket. Det samme PowerShell-verktøyet brukes til å kommunisere med C2-serverne og laste ned ekstra ondsinnede moduler og kjøre kommandoer.

Modulær bakdør Brukt av APT35

PowerShell-modulen skraper informasjon om det kompromitterte systemet, og sender den deretter tilbake til kontrollserveren. Basert på svaret den får, kan serveren bestemme seg for å fremme angrepet ved å kjøre tilleggsmoduler i C# eller PowerShell. Disse ekstra modulene utfører forskjellige oppgaver, for eksempel å eksfiltrere informasjon eller kryptere eksisterende data på nettverket.

Funksjonaliteten stopper ikke her. Noen moduler gjør det mulig å ta skjermbilder, noen overvåker aktive bakgrunnsprosesser, og til slutt en som renser spor etter skanningen, og de andre modulene dreper prosessene deres.

Til tross for denne tilsynelatende rike funksjonaliteten til verktøysettet utplassert utover det første angrepet, tenkte forskerne ikke så mye på APT35. Grunnen til dette var at hackergruppen brukte tidligere kjente offentlige verktøy som gjorde deteksjon enkelt og stolte på en allerede eksisterende C2-serverinfrastruktur som ytterligere gjør ting enklere for sikkerhetsovervåking og ringer alarmklokker.

Det er ganske sikkert at vi kommer til å høre om mange nyere og stadig mer kreative angrep som misbruker Log4j-sårbarheter på en eller annen måte gjennom 2022. Forhåpentligvis vil bedrifter og programvare- og plattformutviklere jobbe hånd i hånd og raskt, for i det minste å holde seg på tempoet og ikke ligge bak hackerne.