Liam Tung er en fuldtids freelance teknologijournalist, som skriver for adskillige australske publikationer.
Fuld bio den 12. januar 2022 | Emne: Sikkerhed 
Iran-støttet hackergruppe Phosphorous eller APT35 bruger Log4j-sårbarheden til at distribuere et nyt modulært PowerShell-værktøjssæt, ifølge til sikkerhedsfirmaet Check Point.
APT35 er en af flere statsstøttede hackergrupper, der vides at have udviklet værktøjer til at udnytte offentligt vendte Java-applikationer, der bruger sårbare versioner af Log4j-fejllogningskomponenten.
Microsoft, som sporer gruppen som fosfor og har kaldt den for i stigende grad at bruge ransomware i angreb, fandt ud af, at den havde operationaliseret en Log4j-udnyttelse til fremtidige kampagner mindre end en uge efter Log4Shells offentliggørelse den 9. december.
SE: Log4j zero-day-fejl: Hvad du behøver at vide, og hvordan du beskytter dig selv
Ifølge en yderligere analyse fra Check Point, var APT35's Log4j-arbejde sjusket og “åbenbart forhastet”, ved at bruge et grundlæggende offentligt tilgængeligt JNDI-udnyttelseskit (nu fjernet fra GitHub) til angreb, der var nemme at opdage og tilskrive.
Efter at have udnyttet Log4j på offentlige systemer, bruger gruppen, hvad Check Point beskriver det som 'en PowerShell-baseret modulær bagdør' til vedholdenhed, kommunikation med en kommando- og kontrolserver (C&C) og kommandoudførelse for yderligere moduler.
Hovedmodulet i angriberens PowerShell-rammeværk validerer netværksforbindelser, opregner karakteristika for et kompromitteret system, henter C&C-domænet fra en hardkodet URL og tager, dekrypterer og udfører efterfølgende moduler. Efter at have modtaget information om kompromitterede systemer, udsteder C&C-serveren enten ingen kommando eller instruerer modulet i at udføre andre moduler, der er skrevet som PowerShell-scripts eller C#-kode.
Kommunikation frem og tilbage mellem mål og C&C kører kontinuerligt for at bestemme, hvilke efterfølgende moduler der skal sendes til målet, ifølge Check Point.
Hvert af de ekstra moduler er ansvarlige for kryptering af data, eksfiltrering via nettet eller en FTP-server og afsendelse af eksekveringslogfiler til en ekstern server.
Men hvert modul har unikke egenskaber, såsom en til at liste installerede applikationer, en anden til at tage skærmbilleder og mere til at vise kørende processer, optælling og udførelse af foruddefinerede kommandoer fra C&C. Et sidste “oprydningsmodul” droppes ved slutningen af indsamlingsaktiviteten, der fjerner beviser, såsom at køre processer oprettet af tidligere brugte moduler.
“Modulerne sendt af C&C udføres af hovedmodulet , hvor hver enkelt rapporterer data tilbage til serveren separat,” forklarer Check Point.
“Denne C&C-cyklus fortsætter på ubestemt tid, hvilket giver trusselsaktørerne mulighed for at indsamle data på den inficerede maskine, køre vilkårlige kommandoer og muligvis eskalere deres handlinger ved at udføre en sidebevægelse eller udføre opfølgende malware som f.eks. ransomware.”
Med hensyn til kvaliteten af gruppens arbejde havde Check Point få komplimenter, fordi de, i modsætning til de fleste avancerede vedvarende trusler, ikke gider at ændre værktøjer og infrastruktur til nye angreb og er kendt for at lave operationssikkerhed (OpSec) fejl.
< p>“Gruppen er berømt i cybersikkerhedssamfundet for antallet af OpSec-fejl i deres tidligere operationer, og de har en tendens til ikke at bruge for mange kræfter på at ændre deres infrastruktur, når først de er afsløret,” bemærker Check Point.
Firmaet siger, at der er lignende kodningsstile mellem PowerShell-scripts, der bruges til Log4Shell, og dem, som gruppen brugte i Android-spyware beskrevet af Googles Threat Analysis Group i oktober.
På trods af det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) bekræftelse, at det ikke havde set nogen større brud på grund af Log4j-udnyttelse, vurderer Microsoft Log4Shell-problemet som en “højrisiko” situation, fordi det er svært for organisationer at vide. hvilke applikationer, enheder og tjenester der er berørt. CISA advarede også om, at angribere, der har udnyttet Log4j, kan vente på, at alarmniveauet falder, før de bruger nye, men uopdagede fodfæste i mål.
Sikkerhed
Intet genstartangreb forfalsker lukning af iOS-telefon for at spionere på dig JFrog-forskere finder JNDI-sårbarhed i H2-databasekonsoller svarende til Log4Shell Cybersecurity-træning virker ikke. Og hackingangreb bliver værre De 5 bedste VPN-tjenester i 2022 De største databrud, hacks af 2021 Security TV | Datastyring | CXO | Datacentre