Akta sig! Hotaktörer som använder Log4j för att installera ny bakdörr

Det verkar som att Log4j inte kommer någonstans 2022, ungefär som det nya coronaviruset. Katten är ute ur påsen och den springer vilt, utan några tecken på att stanna. En nyligen genomförd analys av säkerhetsföretaget Check Point visar att en statsstödd hotaktör känd under handtaget APT35 nu använder Log4j för att distribuera en helt ny skadlig verktygslåda som använder PowerShell.

Samma hotaktör har fått namnet Fosfor av Microsofts säkerhetsforskare. Hackarna anses vara en statsstödd iransk grupp. Förra veckan varnade Microsoft för flera statligt stödda hotaktörer som redan gör storskalig undersökning och letar efter nätverk som fortfarande har exponerat Log4j sårbara system.

APT35 använder kända verktyg

Den forskning Check Point gjorde om det senaste APT35-fallet visar att hackarna inte var särskilt bra på sitt jobb. Forskningsuppsatsen kallar deras initiala attackvektor "rushed", med hjälp av ett grundläggande open source-verktyg, tidigare tillgängligt på GitHub, innan det tas bort.

När APT35 får åtkomst installerar gruppen en modulär bakdörr baserad på PowerShell för att uppnå uthållighet på det komprometterade nätverket. Samma PowerShell-verktyg används för att kommunicera med C2-servrarna och ladda ner extra skadliga moduler och köra kommandon.

Modulär bakdörr som används av APT35

PowerShell-modulen skrapar information om det komprometterade systemet och skickar den sedan tillbaka till kontrollservern. Baserat på svaret den får, kan servern bestämma sig för att fortsätta attacken genom att exekvera ytterligare moduler i C# eller PowerShell. Dessa extra moduler utför olika uppgifter, som att exfiltrera information eller kryptera befintlig data på nätverket.

Funktionaliteten slutar inte här. Vissa moduler gör det möjligt att ta skärmdumpar, vissa övervakar aktiva bakgrundsprocesser, och slutligen en som rensar alla spår som lämnats av skanningen, och de andra modulerna, dödar deras processer.

Trots denna till synes rika funktionalitet i verktygslådan som distribuerades bortom den första attacken, tyckte forskarna inte så mycket om APT35. Anledningen till detta var att hackergruppen använde tidigare kända offentliga verktyg som gjorde upptäckten enkel och förlitade sig på en redan existerande C2-serverinfrastruktur som ytterligare underlättar säkerhetsövervakningen och ringer larmklockor.

Det är ganska säkert att vi kommer att få höra om många nyare och allt mer kreativa attacker som missbrukar Log4j-sårbarheter på ett eller annat sätt under hela 2022. Förhoppningsvis kommer företag och mjukvaru- och plattformsutvecklare att arbeta hand i hand och snabbt, för att åtminstone hålla takten och släpa inte efter hackarna.