Irańscy hakerzy na usługach państwa wykorzystują Log4Shell przeciwko Izraelowi, twierdzi Microsoft

Irańska grupa hakerska MuddyWater, rzekomo powiązana z państwową służbą wywiadowczą tego kraju, kontynuuje ponoć wykorzystywanie luki Log4j w celu uzyskania dostępu do sieci korporacyjnych w Izraelu w ramach trwającej wojny proxy między dwoma krajami

GuerrillaBuzz Blockchain PR Agency /Unsplash

Aktor zagrożeń, który jest również znany jako Mercury, obrał za cel luki w SysAid, popularnym oprogramowaniu do zarządzania IT, używanym przez wiele izraelskich organizacji, zgodnie z raportem opublikowanym przez Microsoft.

U.S. Cyber Command poinformował wcześniej, że grupa jest powiązana z irańskim Ministerstwem Wywiadu i Bezpieczeństwa. W grudniu grupa obrała za cel dostawców usług telekomunikacyjnych i informatycznych na Bliskim Wschodzie i w Azji.

Zobacz również:

  • CERT i Zespół Cyfryzacji KPRM reagują na zagrożenie Log4Shell
  • Microsoft wyłączył obsługę protokołu MSIX ms-appinstaller
  • Platforma Azure ochroni małe i średnie firmy przed atakami DDoS

Nowy atak MuddyWater, wykryty przez Microsoft pod koniec lipca, jest kolejnym przykładem sponsorowanych przez państwo operacji wykorzystujących Log4Shell, lukę w bibliotece Java Log4j używanej do dodawania możliwości rejestrowania do aplikacji internetowych i desktopowych.

Wcześniej w grudniu Microsoft odkrył, że grupy państwowe z Chin, Iranu, Korei Północnej i Turcji nadużywały Log4Shell w celu uzyskania dostępu do sieci docelowych. MuddyWater, na przykład, wykorzystał błędy w Log4j do wykorzystania luk w aplikacjach VMware, które zostały ostatecznie załatane.

Szukając alternatywy, irańscy hakerzy zwrócili się w stronę SysAid, kolejnego atrakcyjnego celu, ponieważ jest on wykorzystywany przez wiele organizacji w Izraelu, jak podaje Microsoft.

Grupa wykorzystała błędy w Log4j, aby uzyskać wstępny dostęp do niezałatanych systemów SysAid i zrzuciła zainfekowany skrypt, powłokę internetową, aby uruchomić złośliwe polecenia. Następnie hakerzy dodali nowego użytkownika i podnieśli jego uprawnienia do lokalnego administratora. Dodali również złośliwe oprogramowanie do folderów startowych, aby zapewnić dostęp nawet jeśli ofiara zrestartuje swój system. Według Microsoftu, hakerzy wykradli dane uwierzytelniające użytkowników, wykorzystując aplikację open-source Mimikatz.

Microsoft wezwał organizacje korzystające z SysAid do zastosowania poprawek bezpieczeństwa i aktualizacji produktów i usług, których dotyczy problem. SysAid wprowadził poprawki do Log4j dla swoich produktów w styczniu, miesiąc po tym jak błąd został odkryty przez pracownika chińskiego giganta technologicznego Alibaba.

Microsoft opublikował również wskaźniki kompromisu pozwalające firmom na zbadanie, czy istnieją one w ich systemach.

Luka Log4j jest obecna w prawie wszystkich głównych aplikacjach i serwerach korporacyjnych opartych na Javie. W pewnym stopniu wykorzystują go również projekty open-source, takie jak Redis, ElasticSearch, Elastic Logstash, czy Ghidra NSA. Wśród firm, których serwery mogą być podatne na ataki Log4Shell są Apple, Amazon, Twitter, Cloudflare, Steam, Tencent i Baidu.

Z wynikiem 10/10 w skali dotkliwości CVSSv3, Log4Shell otwiera setki milionów urządzeń na exploity - ostrzegają eksperci ds. cyberbezpieczeństwa.

Wcześniej w sierpniu Departament Bezpieczeństwa Krajowego USA przyznał, że miną lata zanim Log4j zostanie załatana. Badacze nazywają ją również „endemiczną luką”.

W grudniu ub. r. amerykańska Agencja Bezpieczeństwa Cybersecurity i Infrastruktury nakazała wszystkim federalnym agencjom cywilnym aktualizację oprogramowania w odpowiedzi na zagrożenie.

Źródło: Microsoft

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200