Tin tặc Iran khai thác lỗ hổng Log4j để triển khai PowerShell Backdoor

Lỗ hổng Log4j

Một diễn viên do nhà nước Iran tài trợ đã bị phát hiện đang quét và cố gắng lạm dụng lỗ hổng Log4Shell trong các ứng dụng Java bị phơi nhiễm công khai để triển khai một mô-đun dựa trên PowerShell không có giấy tờ cho đến nay có tên là “CharmPower“để theo dõi sau khai thác.

Các nhà nghiên cứu từ Check Point cho biết: “Quá trình thiết lập cuộc tấn công của kẻ tấn công rõ ràng là rất gấp rút, vì họ sử dụng công cụ mã nguồn mở cơ bản để khai thác và dựa trên hoạt động của họ trên cơ sở hạ tầng trước đó, điều này làm cho cuộc tấn công dễ bị phát hiện và quy kết hơn”. tuần.

Công ty của Israel đã liên kết vụ tấn công với một nhóm có tên APT35, cũng được theo dõi bằng các tên mã Charming Kitten, Phosphorus và TA453, với lý do trùng lặp với các bộ công cụ trước đây được xác định là cơ sở hạ tầng được sử dụng bởi kẻ đe dọa.

Log4Shell hay còn gọi là CVE-2021-44228 (điểm CVSS: 10.0) liên quan đến lỗ hổng bảo mật quan trọng trong thư viện ghi nhật ký Log4j phổ biến, nếu khai thác thành công, có thể dẫn đến việc thực thi mã tùy ý từ xa trên các hệ thống bị xâm nhập.

Việc dễ dàng khai thác cùng với việc sử dụng rộng rãi thư viện Log4j đã tạo ra một lượng lớn các mục tiêu, ngay cả khi khuyết điểm đã thu hút hàng loạt kẻ xấu, những kẻ đã chớp lấy cơ hội để thực hiện một loạt các cuộc tấn công chóng mặt kể từ khi nó được công bố rộng rãi. tháng.

Xem tiếp:   Active Directory Bugs có thể cho phép tin tặc chiếm quyền điều khiển miền của Windows

Mặc dù Microsoft trước đây đã chỉ ra những nỗ lực của APT35 để có được và sửa đổi cách khai thác Log4j, nhưng những phát hiện mới nhất cho thấy nhóm tấn công đã vận hành lỗ hổng để phân phối bộ cấy PowerShell có khả năng truy xuất các mô-đun giai đoạn tiếp theo và lấy dữ liệu ra lệnh kiểm soát ( C2) máy chủ.

Lỗ hổng Log4j

Các mô-đun của CharmPower cũng hỗ trợ nhiều chức năng thu thập thông tin tình báo, bao gồm các thu thập thông tin hệ thống, liệt kê các ứng dụng đã cài đặt, chụp ảnh màn hình, liệt kê các quy trình đang chạy, thực hiện các lệnh được gửi từ máy chủ C2 và xóa mọi dấu hiệu bằng chứng do các thành phần này tạo ra.

Tiết lộ được đưa ra khi Microsoft và NHS cảnh báo rằng các hệ thống kết nối internet chạy VMware Horizon đang được nhắm mục tiêu để triển khai web shell và một loại ransomware có tên NightSky, với việc gã khổng lồ công nghệ này kết nối hệ thống này với một nhà điều hành có trụ sở tại Trung Quốc có tên là DEV-0401, cũng đã triển khai LockFile, AtomSilo và Rook ransomware trong quá khứ.

Hơn nữa, Hafnium, một nhóm tác nhân đe dọa khác hoạt động bên ngoài Trung Quốc, cũng đã được quan sát sử dụng lỗ hổng để tấn công cơ sở hạ tầng ảo hóa nhằm mở rộng mục tiêu thông thường của họ, Microsoft lưu ý.

Xem tiếp:   CronRAT: Một phần mềm độc hại Linux mới được lên lịch chạy vào ngày 31 tháng 2

Các nhà nghiên cứu cho biết: “Đánh giá bằng khả năng tận dụng lỗ hổng Log4j và các đoạn mã của cửa hậu CharmPower, các tác nhân có thể thay đổi bánh răng nhanh chóng và chủ động phát triển các cách triển khai khác nhau cho từng giai đoạn tấn công của họ”.

.

Related Posts

Check Also

Các nhà nghiên cứu Bỏ qua tài khoản hộp bảo vệ xác thực đa yếu tố dựa trên SMS

Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một lỗi …