Η Microsoft προειδοποιεί ότι ένας απειλητικός παράγοντας με έδρα το Ιράν που αποκαλεί Mercury χρησιμοποιεί τα ελαττώματα Log4Shell σε εφαρμογές από τον προμηθευτή IT SysAid εναντίον οργανισμών που βρίσκονται στο Ισραήλ.
Δείτε επίσης: Log4Shell: Χρησιμοποιείται ακόμα για hacking σε διακομιστές VMware
Δείτε επίσης: Amazon Web Services: Διορθώνει container escape στο hotfix Log4Shell
Η ομάδα παρακολούθησης εθνικών κρατών της Microsoft, το Microsoft Threat Intelligence Center (MSTIC), εκτίμησε με «υψηλή σιγουριά» ότι η καμπάνια συνδέεται με το Υπουργείο Πληροφοριών και Ασφάλειας του Ιράν (MOIS). Η Διοίκηση Κυβερνοχώρου των ΗΠΑ παρακολουθεί την ομάδα ως MuddyWater, την οποία εκτιμά ότι είναι «υποτελές στοιχείο» του MOIS.
Η στόχευση εφαρμογών SysAid είναι μια νέα προσέγγιση για την Mercury, η οποία στο παρελθόν χρησιμοποίησε ελαττώματα απομακρυσμένης εκτέλεσης κώδικα Log4Shell σε εφαρμογές VMware για να πραγματοποιήσει επιθέσεις.
Η SysAid είναι μια εταιρεία διαχείρισης υπηρεσιών πληροφορικής που ιδρύθηκε στο Ισραήλ. Η εταιρεία κυκλοφόρησε τις ενημερώσεις κώδικα Log4j για τα προϊόντα cloud και εσωτερικής εγκατάστασης τον Ιανουάριο, λίγο αφότου το Apache Software Foundation αποκάλυψε τα σφάλματα στη βιβλιοθήκη καταγραφής εφαρμογών Log4J Java στις 9 Δεκεμβρίου.
«Τις τελευταίες εβδομάδες, το Microsoft Threat Intelligence Center (MSTIC) και η ερευνητική ομάδα του Microsoft 365 Defender εντόπισαν την ομάδα Mercury με έδρα το Ιράν που εκμεταλλεύεται τα τρωτά σημεία Log4j 2 σε εφαρμογές SysAid εναντίον οργανισμών που βρίσκονται στο Ισραήλ», προειδοποίησε η Microsoft.
Η Microsoft εντόπισε την ομάδα χρησιμοποιώντας τα “πιθανότατα” exploits του Log4Shell μεταξύ 23 και 25 Ιουλίου έναντι instances του SysAid Server που εκτέθηκαν στο Διαδίκτυο. Η εκστρατεία λαμβάνει χώρα στο πλαίσιο των ΗΠΑ, του Ιράν και του Ισραήλ που διαπραγματεύονται μια νέα πυρηνική συμφωνία.
Δείτε επίσης: Log4Shell exploits χρησιμοποιούνται για DDoS botnets και εγκατάσταση cryptominers
“Μετά την απόκτηση πρόσβασης, η Mercury δημιουργεί persistence, κλέβει τα credentials και μετακινείται πλευρικά εντός του στοχευόμενου οργανισμού χρησιμοποιώντας προσαρμοσμένα και γνωστά εργαλεία hacking, καθώς και ενσωματωμένα εργαλεία λειτουργικού συστήματος για την επίθεση hands-on-keyboard”, εξήγησε η Microsoft.
Η ομάδα “ρίχνει” και χρησιμοποιεί web shells για να εκτελέσει εντολές που σχετίζονται με αναγνώριση, πλευρική κίνηση και persistence. Χρησιμοποιεί και το εργαλείο open-source pen-testing Mimikatz για την κλοπή των credentials, καθώς και το dump των credentials σε SQL servers για την κλοπή λογαριασμών υπηρεσιών high-privilege.
Ενώ η απειλή φαίνεται να στοχεύει αποκλειστικά οργανισμούς που εδρεύουν στο Ισραήλ, η Microsoft προτρέπει όλους τους οργανισμούς να ελέγξουν εάν το SysAid είναι παρόν στο δίκτυο και να εφαρμόσουν τις ενημερώσεις κώδικα της εταιρείας για τα ελαττώματα του Log4j.
Η Microsoft συνιστά στις ομάδες ασφαλείας να ελέγχουν όλη τη δραστηριότητα ελέγχου ταυτότητας για υποδομή απομακρυσμένης πρόσβασης και να επικεντρώνονται σε λογαριασμούς που έχουν διαμορφωθεί και δεν έχουν προστατευθεί με έλεγχο ταυτοποίησης πολλαπλών παραγόντων (MFA). Επίσης, συνιστά στους οργανισμούς να ενεργοποιούν το MFA.
Πηγή πληροφοριών: zdnet.com
