Остерегаться! Злоумышленники используют Log4j для установки нового бэкдора

Похоже, Log4j никуда не денется в 2022 году, как и новый коронавирус. Кошка вылезла из мешка и бежит, не собираясь останавливаться. Недавний анализ, проведенный фирмой по безопасности Check Point, показывает, что поддерживаемый государством субъект угроз, известный под псевдонимом APT35, теперь использует Log4j для распространения совершенно нового набора вредоносных инструментов, использующего PowerShell.

Исследователи безопасности Microsoft назвали того же злоумышленника Phosphorous. Хакеры считаются поддерживаемой государством иранской группой. На прошлой неделе Microsoft предупредила о том, что несколько поддерживаемых государством субъектов угроз уже проводят крупномасштабные исследования в поисках сетей, в которых все еще обнаружены уязвимые системы Log4j.

APT35 использует известные инструменты

Исследование, проведенное Check Point по последнему делу APT35, показывает, что хакеры не особенно хорошо справлялись со своей работой. Исследовательская работа называет их первоначальный вектор атаки «поспешным» с использованием базового инструмента с открытым исходным кодом, ранее доступного на GitHub, до его удаления.

Как только APT35 получает доступ, группа устанавливает модульный бэкдор на основе PowerShell, чтобы добиться устойчивости в скомпрометированной сети. Тот же инструмент PowerShell используется для связи с серверами C2, загрузки дополнительных вредоносных модулей и выполнения команд.

Модульный бэкдор, используемый APT35

Модуль PowerShell собирает информацию о скомпрометированной системе, а затем отправляет ее обратно на управляющий сервер. В зависимости от полученного ответа сервер может решить продолжить атаку, выполнив дополнительные модули на C# или PowerShell. Эти дополнительные модули выполняют различные задачи, такие как фильтрация информации или шифрование существующих данных в сети.

На этом функциональность не заканчивается. Некоторые модули позволяют делать снимки экрана, некоторые отслеживают активные фоновые процессы и, наконец, один удаляет все следы, оставленные сканированием, а другие модули убивают свои процессы.

Несмотря на эту, казалось бы, богатую функциональность инструментария, развернутого после первоначальной атаки, исследователи не слишком высоко ценили APT35. Причиной этого было то, что хакерская группа использовала ранее известные общедоступные инструменты, упрощающие обнаружение, и полагалась на уже существующую инфраструктуру сервера C2, которая еще больше упрощает мониторинг безопасности и вызывает тревогу.

Совершенно очевидно, что в 2022 году мы услышим о многих новых и все более творческих атаках, так или иначе использующих уязвимости Log4j. Будем надеяться, что компании, разработчики программного обеспечения и платформ будут работать рука об руку и быстро, чтобы, по крайней мере, оставаться в темпе. и не отставай от хакеров.