Liam Tung er en heltids frilansteknologijournalist som skriver for flere australske publikasjoner.
Full bio 12. januar 2022 | Emne: Sikkerhet 
Iran-støttet hackergruppe Phosphorous eller APT35 bruker Log4j-sårbarheten til å distribuere et nytt modulært PowerShell-verktøysett, ifølge til sikkerhetsfirmaet Check Point.
APT35 er en av flere statsstøttede hackergrupper som er kjent for å ha utviklet verktøy for å utnytte offentlige Java-applikasjoner som bruker sårbare versjoner av Log4j-feilloggingskomponenten.
Microsoft, som sporer gruppen som fosfor og har kalt den ut for i økende grad å bruke løsepengevare i angrep, fant ut at den hadde operasjonalisert en Log4j-utnyttelse for fremtidige kampanjer mindre enn en uke etter Log4Shells avsløring 9. desember.
SE: Log4j zero-day-feil: Hva du trenger å vite og hvordan du beskytter deg selv
I følge en ytterligere analyse fra Check Point, var APT35s Log4j-arbeid slurvete og “åpenbart forhastet”, ved å bruke et grunnleggende offentlig tilgjengelig JNDI-utnyttingssett (nå fjernet fra GitHub) for angrep som var enkle å oppdage og tilskrive.
Etter å ha utnyttet Log4j på offentlige systemer, bruker gruppen det Check Point beskriver det som 'en PowerShell-basert modulær bakdør' for utholdenhet, kommunikasjon med en kommando- og kontrollserver (C&C) og kommandoutførelse for tilleggsmoduler.
Hovedmodulen i angriperens PowerShell-rammeverk validerer nettverkstilkoblinger, oppregner egenskaper om et kompromittert system, henter C&C-domenet fra en hardkodet URL, og tar, dekrypterer og kjører påfølgende moduler. Etter å ha mottatt informasjon om kompromitterte systemer, utsteder C&C-serveren enten ingen kommando eller instruerer modulen til å kjøre andre moduler som er skrevet som PowerShell-skript eller C#-kode.
Kommunikasjon frem og tilbake mellom mål og C&C kjører kontinuerlig for å bestemme hvilke påfølgende moduler som skal sendes til målet, ifølge Check Point.
Hver av tilleggsmodulene er ansvarlige for kryptering av data, eksfiltrering via nettet eller en FTP-server, og sending av utførelseslogger til en ekstern server.
Men hver modul har unike funksjoner, for eksempel en for å liste opp installerte applikasjoner, en annen for å ta skjermbilder og mer for å liste kjørende prosesser, opptelling og utføring av forhåndsdefinerte kommandoer fra C&C. En siste “oppryddingsmodul” droppes ved slutten av innsamlingsaktiviteten som fjerner bevis, for eksempel kjørende prosesser opprettet av tidligere brukte moduler.
“Modulene sendt av C&C utføres av hovedmodulen , med hver og en rapporterer data tilbake til serveren separat,” forklarer Check Point.
“Denne C&C-syklusen fortsetter på ubestemt tid, som lar trusselaktørene samle data på den infiserte maskinen, kjøre vilkårlige kommandoer og muligens eskalere handlingene sine ved å utføre en sidebevegelse eller utføre oppfølging av skadelig programvare som f.eks. løsepengevare.”
Med hensyn til kvaliteten på gruppens arbeid hadde Check Point få komplimenter fordi de, i motsetning til de fleste avanserte vedvarende trusler, ikke gidder å endre verktøy og infrastruktur for nye angrep og er kjent for å gjøre operasjonssikkerhet (OpSec) tabber.
< p>“Gruppen er kjent i nettsikkerhetsfellesskapet for antall OpSec-feil i deres tidligere operasjoner, og de har en tendens til ikke å legge for mye innsats i å endre infrastrukturen sin når de er avslørt,” bemerker Check Point.
Firmaet sier at det er lignende kodestiler mellom PowerShell-skriptene som brukes for Log4Shell og de som gruppen brukte i Android-spionprogrammer beskrevet av Googles Threat Analysis Group i oktober.
Til tross for bekreftelsen fra US Cybersecurity and Infrastructure Security Agency (CISA) at de ikke hadde sett noen større brudd som følge av Log4j-utnyttelse, vurderer Microsoft Log4Shell-problemet som en “høyrisiko”-situasjon fordi det er vanskelig for organisasjoner å vite hvilke applikasjoner, enheter og tjenester som er berørt. CISA advarte også om at angripere som har utnyttet Log4j kan vente på at varslingsnivåene skal falle før de bruker nye, men uoppdagede fotfester i mål.
Sikkerhet
NoReboot-angrep forfalsker avslutning av iOS-telefon for å spionere på deg JFrog-forskere finner JNDI-sårbarhet i H2-databasekonsoller som ligner på Log4Shell Cybersecurity-trening fungerer ikke. Og hackingangrep blir verre De 5 beste VPN-tjenestene i 2022 De største datainnbruddene, hacks av 2021 Security TV | Databehandling | CXO | Datasentre