Pozor! Udeleženci grožnje, ki uporabljajo Log4j za namestitev novega backdoorja
Zdi se, da Log4j leta 2022 ne gre nikamor, podobno kot novi koronavirus. Mačka je iz vreče in divja, brez znakov, da bi se ustavila. Nedavna analiza varnostnega podjetja Check Point kaže, da akter groženj, ki jih podpira država, znan pod ročajem APT35, zdaj uporablja Log4j za distribucijo popolnoma novega zlonamernega kompleta orodij, ki uporablja PowerShell.
Microsoftovi varnostni raziskovalci so istega akterja grožnje poimenovali Phosphorous. Hekerji veljajo za iransko skupino, ki jo podpira država. Prejšnji teden je Microsoft opozoril, da številni akterji groženj, ki jih podpira država, že izvajajo obsežno sondiranje in iščejo omrežja, ki so še vedno izpostavila ranljive sisteme Log4j.
APT35 uporablja znana orodja
Raziskava, ki jo je Check Point opravil na najnovejšem primeru APT35, kaže, da hekerji niso bili posebej dobri pri svojem delu. Raziskovalni članek njihov začetni vektor napada imenuje "nagnjen" z uporabo osnovnega odprtokodnega orodja, ki je bilo prej na voljo na GitHubu, preden ga odstranijo.
Ko APT35 pridobi dostop, skupina namesti modularno backdoor, ki temelji na PowerShell, da doseže obstojnost v ogroženem omrežju. Isto orodje PowerShell se uporablja za komunikacijo s strežniki C2 in prenos dodatnih zlonamernih modulov ter zagon ukazov.
Modularna zadnja vrata, ki jih uporablja APT35
Modul PowerShell pobere informacije o ogroženem sistemu in jih nato pošlje nazaj nadzornemu strežniku. Na podlagi odziva, ki ga prejme, se lahko strežnik odloči za nadaljevanje napada z izvajanjem dodatnih modulov v C# ali PowerShell. Ti dodatni moduli opravljajo različne naloge, kot je ekstrakcija informacij ali šifriranje obstoječih podatkov v omrežju.
Funkcionalnost se tu ne ustavi. Nekateri moduli omogočajo zajemanje posnetkov zaslona, nekateri spremljajo aktivne procese v ozadju in končno tisti, ki očisti kakršno koli sled, ki jo pušča skeniranje, drugi moduli pa uničijo njihove procese.
Kljub tej navidezno bogati funkcionalnosti kompleta orodij, ki je bil razporejen po začetnem napadu, raziskovalci niso imeli preveč mnenja o APT35. Razlog za to je bil, da je hekerska skupina uporabljala prej znana javna orodja, ki so olajšala odkrivanje, in se zanašala na že obstoječo strežniško infrastrukturo C2, ki dodatno olajša varnostno spremljanje in sproži alarm.
Precej gotovo je, da bomo skozi vse leto 2022 slišali o številnih novejših in vse bolj ustvarjalnih napadih, ki tako ali drugače zlorabljajo ranljivosti Log4j. Upajmo, da bodo podjetja ter razvijalci programske opreme in platform delali z roko v roki in hitro, da bodo vsaj ostali na tempo in ne zaostajajte za hekerji.