Liam Tung är en heltidsfrilansande teknologijournalist som skriver för flera australiska publikationer.
Fullständig bio den 12 januari 2022 | Ämne: Säkerhet 
Iran-stödda hackergruppen Phosphorous eller APT35 använder Log4j-sårbarheten för att distribuera en ny modulär PowerShell-verktygssats, enligt till säkerhetsföretaget Check Point.
APT35 är en av flera statligt stödda hackningsgrupper som är kända för att ha utvecklat verktyg för att utnyttja Java-applikationer som är riktade mot allmänheten som använder sårbara versioner av Log4j-felloggningskomponenten.
Microsoft, som spårar gruppen som fosfor och har kallat den för att alltmer använda ransomware i attacker, fann att den hade operationaliserat en Log4j-exploatering för framtida kampanjer mindre än en vecka efter Log4Shells avslöjande den 9 december.
SE: Log4j zero-day-fel: Vad du behöver veta och hur du skyddar dig
Enligt en ytterligare analys av Check Point var APT35:s Log4j-arbete slarvigt och “uppenbarligen förhastat”, med ett grundläggande allmänt tillgängligt JNDI-exploatkit (nu borttaget från GitHub) för attacker som var lätta att upptäcka och tillskriva.
Efter att ha utnyttjat Log4j på offentliga system, använder gruppen vad Check Point beskriver det som “en PowerShell-baserad modulär bakdörr” för uthållighet, kommunikation med en kommando- och kontrollserver (C&C) och kommandoexekvering för ytterligare moduler.
Huvudmodulen i angriparens PowerShell-ramverk validerar nätverksanslutningar, räknar upp egenskaper hos ett inträngt system, hämtar C&C-domänen från en hårdkodad URL och tar, dekrypterar och exekverar efterföljande moduler. Efter att ha mottagit information om komprometterade system, utfärdar C&C-servern antingen inget kommando eller instruerar modulen att köra andra moduler som är skrivna som PowerShell-skript eller C#-kod.
Kommunikation fram och tillbaka mellan mål och C&C körs kontinuerligt för att avgöra vilka efterföljande moduler som ska skickas till målet, enligt Check Point.
Var och en av de extra modulerna ansvarar för kryptering av data, exfiltrering via webben eller en FTP-server, och skicka exekveringsloggar till en fjärrserver.
Men varje modul har unika funktioner, till exempel en för att lista installerade applikationer, en annan för att ta skärmdumpar och mer för att lista pågående processer, uppräkning och exekvering av fördefinierade kommandon från C&C. En sista “saneringsmodul” tas bort i slutet av insamlingsaktiviteten som tar bort bevis, som att köra processer skapade av tidigare använda moduler.
“Modulerna som skickas av C&C exekveras av huvudmodulen , med var och en rapporterar data tillbaka till servern separat”, förklarar Check Point.
“Denna C&C-cykel fortsätter på obestämd tid, vilket gör att hotaktörerna kan samla in data på den infekterade maskinen, köra godtyckliga kommandon och eventuellt eskalera sina åtgärder genom att utföra en sidorörelse eller utföra uppföljande skadlig programvara som t.ex. ransomware.”
När det gäller kvaliteten på gruppens arbete, fick Check Point få komplimanger eftersom de, till skillnad från de flesta avancerade ihållande hot, inte bryr sig om att byta verktyg och infrastruktur för nya attacker och är kända för att göra operationssäkerhet (OpSec) misstag.
< p>“Gruppen är känd inom cybersäkerhetscommunityt för antalet OpSec-misstag i deras tidigare verksamhet, och de tenderar att inte lägga alltför mycket ansträngning på att ändra sin infrastruktur när de väl har avslöjats”, konstaterar Check Point.
Företaget säger att det finns liknande kodningsstilar mellan PowerShell-skripten som används för Log4Shell och de som gruppen använde i Android-spionprogram som beskrivs av Googles Threat Analysis Group i oktober.
Trots den amerikanska Cybersecurity and Infrastructure Security Agency (CISA) bekräftelse att de inte hade sett några större intrång från Log4j-exploatering, bedömer Microsoft Log4Shell-frågan som en “högrisk” situation eftersom det är svårt för organisationer att veta vilka applikationer, enheter och tjänster som påverkas. CISA varnade också för att angripare som har utnyttjat Log4j kan vänta på att beredskapsnivåerna ska sjunka innan de använder nya men oupptäckta fotfästen i mål.
Säkerhet
Ingen omstartsattack förfalskar iOS-telefonavstängning för att spionera på dig JFrog-forskare finner JNDI-sårbarhet i H2-databaskonsoler som liknar Log4Shell Cybersecurity-träning fungerar inte. Och hackattacker blir värre De 5 bästa VPN-tjänsterna 2022 De största dataintrången, hackarna från 2021 Security TV | Datahantering | CXO | Datacenter