Pas op! Bedreigingsactoren die Log4j gebruiken om nieuwe achterdeur te installeren

Het lijkt erop dat Log4j nergens heen gaat in 2022, net als het nieuwe coronavirus. De kat is uit de zak en loopt wild, zonder tekenen van stoppen. Een recente analyse door beveiligingsbedrijf Check Point laat zien dat een door de staat gesteunde dreigingsactor, bekend onder de naam APT35, nu Log4j gebruikt om een gloednieuwe kwaadaardige toolkit te verspreiden die PowerShell gebruikt.

Dezelfde dreigingsactor is door de beveiligingsonderzoekers van Microsoft Phosphorous genoemd. De hackers worden beschouwd als een door de staat gesteunde Iraanse groep. Vorige week waarschuwde Microsoft voor meerdere door de staat gesteunde dreigingsactoren die al grootschalige onderzoeken doen, op zoek naar netwerken die nog steeds kwetsbare Log4j-systemen hebben blootgelegd.

APT35 gebruikt bekende hulpmiddelen

Het onderzoek dat Check Point deed naar de laatste APT35-zaak toont aan dat de hackers niet bijzonder goed waren in hun werk. De onderzoekspaper noemt hun initiële aanvalsvector "gehaast", met behulp van een eenvoudige open-source tool, die voorheen beschikbaar was op GitHub, voordat deze wordt verwijderd.

Zodra APT35 toegang krijgt, installeert de groep een modulaire achterdeur op basis van PowerShell om persistentie op het aangetaste netwerk te bereiken. Dezelfde PowerShell-tool wordt gebruikt om te communiceren met de C2-servers en om extra kwaadaardige modules te downloaden en opdrachten uit te voeren.

Modulaire achterdeur gebruikt door APT35

De PowerShell-module schrapt informatie over het gecompromitteerde systeem en stuurt deze vervolgens terug naar de controleserver. Op basis van het antwoord dat het krijgt, kan de server besluiten de aanval verder te zetten door extra modules in C# of PowerShell uit te voeren. Die extra modules voeren verschillende taken uit, zoals het exfiltreren van informatie of het versleutelen van bestaande data op het netwerk.

De functionaliteit stopt hier niet. Sommige modules maken het mogelijk om schermafbeeldingen te maken, sommige monitoren actieve achtergrondprocessen en tot slot een die elk spoor dat door het scannen is achtergelaten opschoont, en de andere modules, waarbij hun processen worden vernietigd.

Ondanks deze schijnbaar rijke functionaliteit van de toolkit die na de eerste aanval werd ingezet, hadden onderzoekers niet al te hoge verwachtingen van APT35. De reden hiervoor was dat de hackergroep eerder bekende openbare tools gebruikte die detectie gemakkelijk maakten en vertrouwden op een reeds bestaande C2-serverinfrastructuur die het toezicht op de beveiliging verder vergemakkelijkt en alarmbellen doet rinkelen.

Het is vrij zeker dat we in 2022 veel nieuwere en steeds creatievere aanvallen zullen horen die op de een of andere manier misbruik maken van Log4j-kwetsbaarheden. Hopelijk zullen bedrijven en software- en platformontwikkelaars hand in hand en snel samenwerken, om in ieder geval het tempo bij te houden en blijf niet achter bij de hackers.