伊朗黑客利用Log4j漏洞部署PowerShell后门

2022-01-14 09:26:33 0 325

伊朗黑客利用Log4j漏洞部署PowerShell后门


一名伊朗国家赞助的参与者被观察到扫描并试图在公开暴露的Java应用程序中滥用Log4Shell漏洞,以部署迄今为止未记录的基于PowerShell的模块化后门,称为"CharmPower",用于后续开发后。

"参与者的攻击设置显然是匆忙的,因为他们使用基本的开源工具进行开发,并将他们的操作基于以前的基础设施,这使得攻击更容易检测和归因,"Check Point的研究人员在本周发表的一份报告中说。

以色列网络安全公司将此次攻击与一个名为APT35的组织联系起来,该组织也使用代号Charm Kitten,磷和TA453进行跟踪,理由是与先前确定为威胁行为者使用的基础设施的工具集重叠。

Log4Shell(又名CVE-2021-44228(CVSS分数:10.0))涉及流行的 Log4j 日志记录库中的一个关键安全漏洞,如果成功利用该漏洞,可能导致在受感染的系统上远程执行任意代码。

利用的便利性加上Log4j库的广泛使用创造了一个巨大的目标池,即使这个缺点吸引了成群的不良行为者,他们抓住了这个机会,自上个月公开披露以来,已经上演了一系列令人眼花缭乱的攻击。

虽然微软此前曾指出APT35试图获取和修改Log4j漏洞,但最新发现表明,黑客组织已经操作了该漏洞,以分发能够检索下一阶段模块并将数据泄露到命令和控制(C2)服务器的PowerShell植入物。

Log4j Vulnerability
CharmPower的模块还支持各种情报收集功能,包括收集系统信息,列出已安装的应用程序,截取屏幕截图,枚举正在运行的进程,执行从C2服务器发送的命令以及清理这些组件创建的任何证据迹象的功能。

微软和NHS警告说,运行VMware Horizon的面向互联网的系统正成为部署网络外壳和一种名为NightSky的勒索软件的目标,这家科技巨头将后者与一家名为DEV-0401的中国运营商联系起来,该公司过去也部署了LockFile,AtomSilo和Rook勒索软件。

此外,微软指出,另一个在中国境外运营的威胁参与者组织Hafnium也被观察到利用该漏洞攻击虚拟化基础架构来扩展其典型目标。

"从他们利用Log4j漏洞的能力和CharmPower后门的代码片段来看,参与者能够迅速改变方向,并积极地为他们的攻击的每个阶段开发不同的实现,"研究人员说。

关于作者

评论0次

要评论?请先  登录  或  注册