Alguns pesquisadores da Check Point descobriram que um grupo de hackers está explorando vulnerabilidades no Apache Log4j.
Pesquisadores detectaram recentemente um grupo de hackers patrocinado pelo estado iraniano que está explorando ativamente vulnerabilidades no Apache Log4j para distribuir um novo kit de ferramentas modular do PowerShell.
Grupo de hackers está explorando vulnerabilidades Log4j
Detalhado por pesquisadores da Check Point Software Technologies, o grupo de hackers APT35, também conhecido como Phosphorous and Charming Kitten, foi detectado pela primeira vez explorando o Log4j apenas quatro dias após a divulgação da primeira vulnerabilidade.
A configuração do ataque é descrita como apressada, pois o grupo usou apenas um kit básico de exploração JNDI de código aberto.
Tendo obtido acesso a um serviço vulnerável, os hackers iranianos incluíram uma nova estrutura modular baseada no PowerShell que foi denominada “CharmPower”. O script é usado para estabelecer persistência, coletar informações e executar comandos.
CharmPower tem quatro módulos de partida principais:
- O primeiro valida uma conexão de rede
- O segundo coleta informações básicas do sistema, como a versão do Windows, o nome do computador e o conteúdo de vários arquivos do sistema.
- O terceiro módulo decodifica o domínio de comando e controle recuperado de um URL codificado armazenado em um bucket S3 da Amazon Web Services Inc.
- Enquanto o módulo de rastreamento recebe, descriptografa e executa os módulos de rastreamento.
Com base nas informações coletadas pela implantação inicial, o APT35 implementa módulos personalizados adicionais para facilitar o roubo de dados e ocultar sua presença na máquina infectada.
O APT35 é um conhecido grupo de hackers que esteve ligado a ataques em 2020 contra a campanha de Trump, atuais e ex-funcionários do governo dos EUA, jornalistas que cobrem a política mundial e iranianos proeminentes que vivem fora do Irã.
O grupo também teve como alvo a Conferência de Segurança de Munique naquele mesmo ano.
“A investigação que liga a exploração do Log4Shell ao APT Iraniano Charming Kitten coincide, e de certa forma, entra em conflito com uma declaração feita pela Agência de Segurança e Infraestrutura de Segurança Cibernética dos EUA em 10 de janeiro que sugeria que não havia invasões significativas relacionadas ao bug naquele momento.”
“Isso provavelmente ressalta os problemas atuais com divulgação e transparência de incidentes e o atraso que pode existir entre a atividade e a descoberta do agente de ameaças.”
John Bambenek, principal caçador de ameaças da empresa de gerenciamento de serviços de tecnologia da informação Netenrich Inc., disse que não é surpreendente que os atores do estado-nação de segundo nível aproveitem a oportunidade apresentada pela vulnerabilidade log4j rapidamente.
"Qualquer façanha dessa gravidade seria explorada por qualquer pessoa que procurasse um ponto de apoio rápido e, às vezes, janelas táticas como essa se abrem, o que significa que você precisa agir rápido. A grande questão é qual agência de inteligência estava usando isso antes que a vulnerabilidade fosse tornada pública."
A falha do Log4j, também conhecida como Log4Shell e rastreada como CVE-2021-44228, é uma ameaça significativa devido ao amplo uso corporativo do Log4j e ao grande número de servidores e serviços baseados em nuvem que podem ser expostos.
Log4j, uma ferramenta de código aberto gratuita e amplamente distribuída da Apache Software Foundation, é uma ferramenta de registro e a falha afeta a versão 2.0 a 2.14.1.
Profissionais de segurança disseram que a ameaça representada pelo Log4Shell é tão alta não apenas pelo escopo de uso da ferramenta, mas também pela facilidade com que a vulnerabilidade pode ser explorada.
Os agentes de ameaças só precisam enviar uma string contendo o código malicioso, que o Log4j analisa, registra e carrega em um servidor. Os hackers podem então obter o controle do
La noticia de que los hackers iraníes estaban explotando las vulnerabilidades de Log4j se produjo cuando la Fuerza de Misión Nacional Cibernética del Comando Cibernético de EE. UU. reveló que había identificado varias herramientas de código abierto que los agentes de inteligencia iraníes están utilizando en redes de todo o mundo.
A divulgação se refere a um grupo de hackers patrocinado pelo Estado iraniano apelidado de “MuddyWater”.
O grupo está ligado ao Ministério de Inteligência e Segurança do Irã e visa principalmente outras nações do Oriente Médio e, ocasionalmente, países da Europa e América do Norte.
Se você quiser saber mais sobre isso, você pode consultar os detalhes no seguinte endereço.