Par to nesen atklājās ziņas viņi atklāja Irānas valsts sponsorētu hakeru grupu kas aktīvi izmanto ievainojamības apachelog4j lai izplatītu jaunu modulāru PowerShell rīku kopu.
Sīkāku informāciju sniedza Check Point Software Technologies pētnieki, Hakeru grupa APT35, kas pazīstama arī kā Phosphorous and Charming Kitten, pirmo reizi tika pamanīta Log4j izmantošanā tikai četras dienas pēc pirmās ievainojamības atklāšanas.
Uzbrukuma iestatīšana raksturots kā steidzīgs, kopš grupas izmantoja tikai pamata atvērtā koda JNDI izmantošanas komplektu.
Ieguvuši piekļuvi neaizsargātam pakalpojumam, lietotāji Irānas hakeri iekļāva jaunu modulāru sistēmu, kuras pamatā ir PowerShelkuru sauca "Šarmu spēks". Skripts tiek izmantots, lai noteiktu noturību, apkopotu informāciju un izpildītu komandas.
CharmPower ir četri galvenie sākotnējie moduļi:
- Pirmais apstiprina tīkla savienojumu
- Otrajā tiek apkopota pamata sistēmas informācija, piemēram, Windows versija, datora nosaukums un dažādu sistēmas failu saturs.
- Trešais modulis atkodē komandu un vadības domēnu, kas iegūts no kodēta URL, kas saglabāts Amazon Web Services Inc S3 spainī.
- Kamēr beigu modulis saņem, atšifrē un izpilda izsekošanas moduļus.
Ar savākto informāciju pēc sākotnējās ieviešanas, tad APT35 ieviest papildu pielāgotus moduļus lai atvieglotu datu zādzību un slēptu to klātbūtni inficētajā mašīnā.
APT35 ir plaši pazīstama hakeru grupa, kas bija saistīta ar uzbrukumiem 2020. gadā pret Trampa kampaņu, pašreizējām un bijušajām ASV valdības amatpersonām, žurnālistiem, kas atspoguļo pasaules politiku, un ievērojamiem irāņiem, kas dzīvo ārpus Irānas. Grupas mērķis bija arī Minhenes drošības konference tajā pašā gadā.
"Izmeklēšana, kas saistīja Log4Shell izmantošanu ar Irānas APT Charming Kitten, sakrīt un kaut kādā veidā ir pretrunā ar ASV Kiberdrošības infrastruktūras un drošības aģentūras 10. janvāra paziņojumu, kurā tika secināts, ka tajā laikā nav notikuši būtiski ar kļūdu saistīti ielaušanās gadījumi. laiks. "
"Tas, iespējams, uzsver pašreizējās problēmas saistībā ar incidentu atklāšanu un pārredzamību, kā arī nobīdi, kas var pastāvēt starp apdraudējuma dalībnieku darbību un atklāšanu.
Džons Bambeneks, informācijas tehnoloģiju pakalpojumu pārvaldības uzņēmuma Netenrich Inc. galvenais draudu meklētājs, sacīja, ka nav pārsteidzoši, ka otrā līmeņa nacionālo valstu dalībnieki steigā izmanto log4j ievainojamības sniegto iespēju.
"Jebkuru tik smagu varoņdarbu izmantotu ikviens, kurš meklē ātru pamatu, un dažreiz atveras tādi taktiskie logi, kas nozīmē, ka jums ir jārīkojas ātri," sacīja Bambeneks. "Lielāks jautājums ir par to, kura izlūkošanas aģentūra to izmantoja, pirms ievainojamība tika publiskota."
Log4j trūkums, kas pazīstams arī kā Log4Shell un tiek izsekots kā CVE-2021-44228, ir liels drauds plašā dēļ uzņēmuma Log4j un serveru un mākoņpakalpojumu pārpilnība kas varētu būt pakļautas nulles tipa ievainojamībām. Log4j, bezmaksas un plaši izplatīts atvērtā pirmkoda rīks no Apache Software Foundation, ir reģistrēšanas rīks, un defekts attiecas uz versiju 2.0–2.14.1.
drošības speciālisti ir teikuši, ka Log4Shell radītie draudi ir tik lieli ne tikai vēriena dēļ par instrumenta lietošanu, bet arī tāpēc, ka to var viegli izmantot ievainojamība. Apdraudējuma dalībniekiem ir jāiesniedz tikai virkne ar ļaunprātīgo kodu, kuru analizē un reģistrē Log4j un augšupielādē serverī. Tad hakeri var iegūt kontroli pār
Ziņas par to, ka Irānas hakeri izmanto Log4j ievainojamības, nāca, kad ASV kiberpavēlniecības Nacionālie kibermisijas spēki atklāja, ka ir identificējuši vairākus atvērtā pirmkoda rīkus, ko Irānas izlūkdienesta aģenti izmanto hakeru tīklos. Ikviens.
Izpaušana attiecas uz Irānas valsts sponsorētu hakeru grupu "MuddyWater".
Grupa ir bijusi saistīta ar Irānas Izlūkošanas un drošības ministriju, un tā galvenokārt ir vērsta pret citām valstīm Tuvajos Austrumos un dažkārt arī pret Eiropas un Ziemeļamerikas valstīm.
Ja vēlaties uzzināt vairāk par to, varat pārbaudīt informāciju Šajā saitē.