謹防!威脅攻擊者使用 Log4j 安裝新後門

看起來Log4j在 2022 年不會去任何地方,就像新型冠狀病毒一樣。貓從袋子裡出來了,它在狂奔,沒有停下來的跡象。安全公司 Check Point 最近的一項分析顯示,一個以APT35句柄而聞名的國家支持的威脅參與者現在正在使用 Log4j 分發一個使用 PowerShell 的全新惡意工具包。

微軟的安全研究人員將同一威脅行為者命名為 Phosphorous。這些黑客被認為是國家支持的伊朗組織。上週,微軟警告稱,多個國家支持的威脅參與者已經在進行大規模探測,尋找仍然暴露出 Log4j 易受攻擊系統的網絡

APT35 使用已知工具

Check Point 對最新的 APT35 案例所做的研究表明,黑客並不是特別擅長他們的工作。該研究論文稱他們最初的攻擊向量“匆忙”,使用的是一個基本的開源工具,以前在 GitHub 上可用,在它被刪除之前。

一旦 APT35 獲得訪問權限,該組織就會安裝一個基於 PowerShell 的模塊化後門,以便在受感染的網絡上實現持久性。相同的 PowerShell 工具用於與 C2 服務器通信並下載額外的惡意模塊並運行命令。

APT35使用的模塊化後門

PowerShell 模塊會抓取有關受感染系統的信息,然後將其發送回控制服務器。根據它獲得的響應,服務器可能會決定進一步攻擊,在 C# 或PowerShell 中執行其他模塊。這些額外的模塊執行各種任務,例如洩露信息或加密網絡上的現有數據。

功能並不止於此。一些模塊允許抓取屏幕截圖,一些監控活動的後台進程,最後,一個清除掃描留下的任何痕蹟的模塊,以及其他模塊,殺死它們的進程。

儘管在最初的攻擊之後部署的工具包功能看似豐富,但研究人員對 APT35 的評價並不高。原因是黑客組織使用了以前已知的公共工具,這些工具使檢測變得容易,並依賴於現有的 C2 服務器基礎設施,這進一步使安全監控和敲響警鐘變得更加容易。

可以肯定的是,在整個 2022 年,我們將聽到許多更新且越來越有創意的攻擊以一種或另一種方式濫用 Log4j 漏洞。希望公司、軟件和平台開發人員能夠攜手並進,至少保持同步並且不要落後於黑客。