Kujdes! Kërcënimi i aktorëve duke përdorur Log4j për të instaluar Backdoor të Ri

Duket sikur Log4j nuk do të shkojë askund në 2022, njësoj si koronavirusi i ri . Macja është jashtë çantës dhe po vrapon e egër, pa asnjë shenjë ndalimi. Një analizë e kohëve të fundit nga firma e sigurisë Check Point tregon se një aktor kërcënimi i mbështetur nga shteti i njohur nën dorezën APT35 tani po përdor Log4j për të shpërndarë një paketë veglash të reja me qëllim të keq që përdor PowerShell.

I njëjti aktor i kërcënimit është quajtur Fosfor nga studiuesit e sigurisë të Microsoft. Hakerët konsiderohen të jenë një grup iranian i mbështetur nga shteti. Javën e kaluar Microsoft paralajmëroi për shumë aktorë të kërcënimit të mbështetur nga shteti që tashmë po bëjnë hetime në shkallë të gjerë, duke kërkuar rrjete që ende kanë ekspozuar sisteme të cenueshme Log4j .

APT35 përdor mjete të njohura

Hulumtimi Check Point i bërë në rastin e fundit APT35 tregon se hakerat nuk ishin veçanërisht të mirë në punën e tyre. Punimi kërkimor e quan vektorin e tyre fillestar të sulmit "të nxituar", duke përdorur një mjet bazë me burim të hapur, i disponueshëm më parë në GitHub, përpara se të hiqet.

Pasi APT35 fiton akses, grupi instalon një derë të pasme modulare të bazuar në PowerShell në mënyrë që të arrijë qëndrueshmëri në rrjetin e komprometuar. I njëjti mjet PowerShell përdoret për të komunikuar me serverët C2 dhe për të shkarkuar module shtesë me qëllim të keq dhe për të ekzekutuar komanda.

Backdoor modular i përdorur nga APT35

Moduli PowerShell fshin informacionin në lidhje me sistemin e komprometuar dhe më pas e dërgon atë në serverin e kontrollit. Bazuar në përgjigjen që merr, serveri mund të vendosë të vazhdojë sulmin, duke ekzekutuar module shtesë në C# ose PowerShell . Këto module shtesë kryejnë detyra të ndryshme, të tilla si nxjerrja e informacionit ose enkriptimi i të dhënave ekzistuese në rrjet.

Funksionaliteti nuk ndalet këtu. Disa module lejojnë kapjen e pamjeve të ekranit, disa monitorojnë proceset aktive të sfondit dhe së fundi, një që pastron çdo gjurmë të lënë nga skanimi dhe modulet e tjera, duke vrarë proceset e tyre.

Pavarësisht nga ky funksionalitet në dukje i pasur i paketës së veglave të vendosur përtej sulmit fillestar, studiuesit nuk menduan shumë për APT35. Arsyeja për këtë ishte se grupi i hakerëve përdorte mjete publike të njohura më parë që e bënin të lehtë zbulimin dhe u mbështetën në një infrastrukturë ekzistuese të serverit C2 që më tej i bën gjërat më të lehta për monitorimin e sigurisë dhe i bie këmbanave të alarmit.

Është mjaft e sigurt që do të dëgjojmë për shumë sulme më të reja dhe gjithnjë e më kreative që abuzojnë me dobësitë e Log4j në një mënyrë ose në një tjetër gjatë gjithë vitit 2022. Shpresojmë, kompanitë dhe zhvilluesit e softuerëve dhe platformave do të punojnë krah për krah dhe shpejt, për të paktën të qëndrojnë në ritmin dhe mos mbeteni pas hakerëve.