Cuidado! Os Autores de Ameaças estão Usando o Log4j para Instalar um Novo Backdoor

Parece que o Log4j, assim como o novo coronavírus nao vai a lugar nenhum em 2022. O gato está fora do saco e está correndo solto, sem sinais de parar. Uma análise recente da empresa de segurança Check Point mostra que um agente de ameaças apoiado pelo estado, conhecido sob o identificador APT35 agora está usando o Log4j para distribuir um novo kit de ferramentas mal-intencionado, que usa o PowerShell.

O mesmo autor de ameaças foi denominado como hosphorous pelos pesquisadores de segurança da Microsoft. Os hackers são considerados um grupo iraniano apoiado pelo Estado. Na semana passada, a Microsoft alertou sobre vários agentes de ameaças apoiados pelo estado que já estão fazendo investigações em larga escala, procurando por redes que ainda expõe sistemas vulneráveis do Log4j .

O APT35 Usa Ferramentas Conhecidas

A pesquisa que a Check Point fez no último caso do APT35 mostra que os hackers não eram particularmente bons no seu trabalho. O trabalho de pesquisa chama seu vetor de ataque inicial de "apressado", usando uma ferramenta básica de código aberto, anteriormente disponível no GitHub, antes de ser removida.

Depois que o APT35 obtém acesso, o grupo instala um backdoor modular baseado no PowerShell para obter persistência na rede comprometida. A mesma ferramenta PowerShell é usada para se comunicar com os servidores C2 e baixar módulos maliciosos extras e executar comandos.

O Backdoor Modular Usado pelo APT35

O módulo do PowerShell coleta informações sobre o sistema comprometido e as envia de volta ao servidor de Comando e Controle. Com base na resposta que recebe, o servidor pode decidir avançar no ataque, executando módulos adicionais no C# ou no PowerShell. Esses módulos extras executam várias tarefas, tais como exfiltrar informações ou criptografar dados existentes na rede.

A funcionalidade não para por aqui. Alguns módulos permitem fazer capturas de tela, alguns monitoram processos ativos em segundo plano e, finalmente, um que limpa qualquer rastro deixado pela digitalização e os outros módulos, matando seus processos.

Apesar dessa funcionalidade aparentemente rica do kit de ferramentas implantado além do ataque inicial, os pesquisadores do APT35 não pensaram muito bem. A razão para isso foi que o grupo de hackers usou ferramentas públicas conhecidas anteriormente que facilitavam a detecção e dependiam da infraestrutura de um servidor C2 já existente que facilita ainda mais o monitoramento de segurança e soa os alarmes.

É bastante certo que ouviremos falar de muitos ataques mais novos e cada vez mais criativos que abusam das vulnerabilidades do Log4j de uma forma ou de outra ao longo de 2022. Esperamos que empresas e desenvolvedores de software e plataforma trabalhem de mãos dadas e rapidamente, para pelo menos permanecer no ritmo e não ficar atrás dos hackers.