Iraanse hackers maken misbruik van Log4j-kwetsbaarheid om PowerShell-backdoor te implementeren

Vulnerabilidad Log4j Nachrichten

Er is waargenomen dat een door de Iraanse staat gesponsorde acteur de Log4Shell-fout in openbaar gemaakte Java-applicaties scant en probeert te misbruiken om een ​​tot nu toe ongedocumenteerde op PowerShell gebaseerde modulaire achterdeur in te zetten, genaamd “CharmPower” voor vervolg na exploitatie.

“De aanvalsconfiguratie van de acteur was duidelijk gehaast, omdat ze de basis open-sourcetool voor de exploitatie gebruikten en hun operaties baseerden op eerdere infrastructuur, waardoor de aanval gemakkelijker te detecteren en toe te schrijven was”, onderzoekers van Check Point zei in een rapport dat deze week is gepubliceerd.

Het Israëlische cyberbeveiligingsbedrijf koppelde de aanval aan een groep die bekend staat als: APT35, die ook wordt gevolgd met behulp van de codenamen Charming Kitten, Phosphorus en TA453, daarbij verwijzend naar overlappingen met toolsets die eerder werden geïdentificeerd als infrastructuur die door de dreigingsactor werd gebruikt.

Log4Shell oftewel CVE-2021-44228 (CVSS-score: 10.0) betreft een kritieke beveiligingskwetsbaarheid in de populaire Log4j-logboekbibliotheek die, indien succesvol misbruikt, zou kunnen leiden tot het op afstand uitvoeren van willekeurige code op gecompromitteerde systemen.

Het gemak van uitbuiting in combinatie met het wijdverbreide gebruik van de Log4j-bibliotheek heeft een enorme pool van doelen gecreëerd, ook al heeft de tekortkoming zwermen slechte acteurs aangetrokken, die de kans hebben aangegrepen om een ​​duizelingwekkende reeks aanvallen uit te voeren sinds de publieke onthulling laatst maand.

Hoewel Microsoft eerder wees op de inspanningen van APT35 om de Log4j-exploit te verwerven en aan te passen, tonen de nieuwste bevindingen aan dat de hackgroep de fout heeft geoperationaliseerd om het PowerShell-implantaat te distribueren dat in staat is om modules van de volgende fase op te halen en gegevens naar een command-and-control te exfiltreren ( C2) server.

Log4j-kwetsbaarheid

De modules van CharmPower ondersteunen ook een verscheidenheid aan functionaliteit voor het verzamelen van informatie, waaronder functies om systeeminformatie te verzamelen, geïnstalleerde applicaties te bekijken, schermafbeeldingen te maken, lopende processen op te sommen, commando’s uit te voeren die door de C2-server zijn verzonden en alle tekenen van bewijs die door deze componenten zijn gecreëerd, op te ruimen.

De onthulling komt op het moment dat Microsoft en de NHS waarschuwden dat op internet gerichte systemen met VMware Horizon het doelwit zijn om webshells en een nieuwe vorm van ransomware genaamd Nachthemel, waarbij de techgigant de laatste verbindt met een in China gevestigde operator genaamd DEV-0401, die in het verleden ook LockFile, AtomSilo en Rook-ransomware heeft geïmplementeerd.

Bovendien is waargenomen dat Hafnium, een andere groep van bedreigingsactoren die vanuit China opereert, de kwetsbaarheid gebruikt om virtualisatie-infrastructuur aan te vallen om hun typische targeting, Microsoft dat is genoteerd.

“Afgaande op hun vermogen om te profiteren van de Log4j-kwetsbaarheid en door de codestukken van de CharmPower-achterdeur, kunnen de acteurs snel schakelen en actief verschillende implementaties ontwikkelen voor elke fase van hun aanvallen”, aldus de onderzoekers.

David
Rate author
Hackarizona