Dikkat! Yeni Arka Kapı Yüklemek İçin Log4j Kullanan Tehdit Aktörleri

Görünüşe göre Log4j, yeni koronavirüs gibi 2022'de hiçbir yere gitmiyor. Kedi çantadan çıktı ve hiçbir durma belirtisi olmadan çılgına dönüyor. Güvenlik firması Check Point tarafından yakın zamanda yapılan bir analiz, APT35 adı altında bilinen devlet destekli bir tehdit aktörünün, PowerShell kullanan yepyeni bir kötü amaçlı araç setini dağıtmak için Log4j'yi kullandığını gösteriyor.

Aynı tehdit aktörü, Microsoft'un güvenlik araştırmacıları tarafından Fosfor olarak adlandırıldı. Hackerların devlet destekli İranlı bir grup olduğu düşünülüyor. Geçen hafta Microsoft, halihazırda Log4j savunmasız sistemlerini açığa çıkaran ağları arayan devlet destekli birden fazla tehdit aktörünün büyük ölçekli araştırma yaptığı konusunda uyardı.

APT35 Bilinen Araçları Kullanıyor

Check Point'in en son APT35 vakasında yaptığı araştırma, bilgisayar korsanlarının işlerinde özellikle iyi olmadığını gösteriyor. Araştırma makalesi, yayından kaldırılmadan önce GitHub'da bulunan temel bir açık kaynaklı araç kullanarak ilk saldırı vektörlerini "acele etti" olarak adlandırıyor.

APT35 erişim kazandığında grup, güvenliği ihlal edilmiş ağda kalıcılık sağlamak için PowerShell tabanlı modüler bir arka kapı kurar. Aynı PowerShell aracı, C2 sunucularıyla iletişim kurmak ve fazladan kötü amaçlı modüller indirmek ve komutları çalıştırmak için kullanılır.

APT35 Tarafından Kullanılan Modüler Arka Kapı

PowerShell modülü, güvenliği ihlal edilmiş sistem hakkındaki bilgileri sıyırır ve ardından kontrol sunucusuna geri gönderir. Aldığı yanıta bağlı olarak sunucu, C# veya PowerShell'de ek modüller yürüterek saldırıyı ilerletmeye karar verebilir. Bu ekstra modüller, bilgi sızdırma veya ağdaki mevcut verileri şifreleme gibi çeşitli görevleri yerine getirir.

İşlevsellik burada bitmiyor. Bazı modüller ekran görüntüsü almaya izin verir, bazıları aktif arka plan işlemlerini izler ve son olarak, taramanın bıraktığı izleri temizleyen ve diğer modüller işlemlerini öldürerek.

İlk saldırının ötesinde konuşlandırılan araç setinin bu görünüşte zengin işlevselliğine rağmen, araştırmacılar APT35'i çok fazla düşünmediler. Bunun nedeni, hacker grubunun, algılamayı kolaylaştıran ve güvenlik izleme için işleri daha da kolaylaştıran ve alarm zillerini çalan halihazırda mevcut bir C2 sunucu altyapısına dayanan, önceden bilinen genel araçları kullanmasıydı.

2022 boyunca Log4j güvenlik açıklarını şu veya bu şekilde kötüye kullanan birçok yeni ve giderek daha yaratıcı saldırılar duyacağımız oldukça kesin. Umarım, şirketler, yazılım ve platform geliştiricileri, en azından hızı korumak için el ele ve hızlı bir şekilde çalışacaklardır. ve bilgisayar korsanlarının gerisinde kalmayın.