谨防!威胁攻击者使用 Log4j 安装新后门

看起来Log4j在 2022 年不会去任何地方,就像新型冠状病毒一样。猫从袋子里出来了,它在狂奔,没有停下来的迹象。安全公司 Check Point 最近的一项分析显示,一个以APT35句柄而闻名的国家支持的威胁参与者现在正在使用 Log4j 分发一个使用 PowerShell 的全新恶意工具包。

微软的安全研究人员将同一威胁行为者命名为 Phosphorous。这些黑客被认为是国家支持的伊朗组织。上周,微软警告称,多个国家支持的威胁参与者已经在进行大规模探测,寻找仍然暴露出 Log4j 易受攻击系统的网络

APT35 使用已知工具

Check Point 对最新的 APT35 案例所做的研究表明,黑客并不是特别擅长他们的工作。该研究论文称他们最初的攻击向量“匆忙”,使用的是一个基本的开源工具,以前在 GitHub 上可用,在它被删除之前。

一旦 APT35 获得访问权限,该组织就会安装一个基于 PowerShell 的模块化后门,以便在受感染的网络上实现持久性。相同的 PowerShell 工具用于与 C2 服务器通信并下载额外的恶意模块并运行命令。

APT35使用的模块化后门

PowerShell 模块会抓取有关受感染系统的信息,然后将其发送回控制服务器。根据它获得的响应,服务器可能会决定进一步攻击,在 C# 或PowerShell 中执行其他模块。这些额外的模块执行各种任务,例如泄露信息或加密网络上的现有数据。

功能并不止于此。一些模块允许抓取屏幕截图,一些监控活动的后台进程,最后,一个清除扫描留下的任何痕迹的模块,以及其他模块,杀死它们的进程。

尽管在最初的攻击之后部署的工具包功能看似丰富,但研究人员对 APT35 的评价并不高。这样做的原因是,黑客组织使用了以前已知的公共工具,这些工具使检测变得容易,并依赖于现有的 C2 服务器基础设施,这进一步简化了安全监控和敲响警钟。

可以肯定的是,在整个 2022 年,我们将听到许多更新且越来越有创意的攻击以一种或另一种方式滥用 Log4j 漏洞。希望公司、软件和平台开发人员能够携手并进,至少保持同步并且不要落后于黑客。