Strzec się! Aktorzy zagrożeń używający Log4j do instalacji nowego backdoora

Wygląda na to, że Log4j nigdzie się nie wybiera w 2022 roku, podobnie jak nowy koronawirus. Kot wyszedł z worka i biega dziko, bez oznak zatrzymania. Niedawna analiza przeprowadzona przez firmę zajmującą się bezpieczeństwem, Check Point, pokazuje, że wspierany przez stany cyberprzestępca znany pod szyldem APT35 używa teraz Log4j do dystrybucji zupełnie nowego złośliwego zestawu narzędzi, który wykorzystuje PowerShell.

Ten sam podmiot zajmujący się zagrożeniami został nazwany Phosphorous przez badaczy bezpieczeństwa Microsoftu. Hakerzy są uważani za irańską grupę wspieraną przez państwo. W zeszłym tygodniu Microsoft ostrzegł przed wieloma wspieranymi przez państwo cyberprzestępcami, którzy już przeprowadzają sondowanie na dużą skalę, szukając sieci, które wciąż ujawniają podatne na ataki systemy Log4j.

APT35 używa znanych narzędzi

Badania, które firma Check Point przeprowadziła na temat ostatniej sprawy APT35, pokazują, że hakerzy nie byli szczególnie dobrzy w swojej pracy. Artykuł badawczy nazywa ich początkowy wektor ataku „przyspieszonym”, przy użyciu podstawowego narzędzia o otwartym kodzie źródłowym, wcześniej dostępnego na GitHub, zanim zostanie usunięte.

Gdy APT35 uzyska dostęp, grupa instaluje modułowe backdoora oparte na PowerShell, aby zapewnić trwałość w zaatakowanej sieci. To samo narzędzie PowerShell służy do komunikacji z serwerami C2 oraz pobierania dodatkowych złośliwych modułów i uruchamiania poleceń.

Modułowe tylne drzwi używane przez APT35

Moduł PowerShell pobiera informacje o zaatakowanym systemie, a następnie wysyła je z powrotem do serwera kontrolnego. Na podstawie otrzymanej odpowiedzi serwer może podjąć decyzję o dalszym ataku, wykonując dodatkowe moduły w C# lub PowerShell. Te dodatkowe moduły wykonują różne zadania, takie jak wydobywanie informacji lub szyfrowanie istniejących danych w sieci.

Na tym funkcjonalność się nie kończy. Niektóre moduły pozwalają na przechwytywanie zrzutów ekranu, niektóre monitorują aktywne procesy w tle i wreszcie taki, który usuwa wszelkie ślady pozostawione przez skanowanie, a inne moduły zabijają ich procesy.

Pomimo tej pozornie bogatej funkcjonalności zestawu narzędzi wdrożonej poza początkowym atakiem, badacze nie cenili sobie APT35 zbyt wysoko. Powodem tego było to, że grupa hakerów używała wcześniej znanych narzędzi publicznych, które ułatwiały wykrywanie i opierała się na już istniejącej infrastrukturze serwera C2, która dodatkowo ułatwia monitorowanie bezpieczeństwa i dzwoni dzwonkami alarmowymi.

Jest całkiem pewne, że w 2022 roku usłyszymy o wielu nowszych i coraz bardziej kreatywnych atakach wykorzystujących luki Log4j w taki czy inny sposób. Miejmy nadzieję, że firmy oraz twórcy oprogramowania i platform będą współpracować i szybko, aby przynajmniej utrzymać tempo i nie pozostawaj w tyle za hakerami.