Peretas Iran Mengeksploitasi Kerentanan Log4j untuk Menyebarkan PowerShell Backdoor

  • Whatsapp
Log4j Vulnerability
Peretas Iran Mengeksploitasi Kerentanan Logj untuk Menyebarkan PowerShell Backdoor

News.nextcloud.asia –

Kerentanan Log4j

Seorang aktor Iran yang disponsori negara telah diamati memindai dan mencoba menyalahgunakan kelemahan Log4Shell dalam aplikasi Java yang diekspos ke publik untuk menyebarkan backdoor modular berbasis PowerShell yang belum didokumentasikan yang dijuluki “Kekuatan Pesona” untuk tindak lanjut pasca eksploitasi.

“Penyiapan serangan aktor jelas terburu-buru, karena mereka menggunakan alat open-source dasar untuk eksploitasi dan mendasarkan operasi mereka pada infrastruktur sebelumnya, yang membuat serangan lebih mudah dideteksi dan dikaitkan,” peneliti dari Check Point dikatakan dalam laporan yang diterbitkan minggu ini.

Perusahaan keamanan siber Israel mengaitkan serangan itu dengan kelompok yang dikenal sebagai APT35, yang juga dilacak menggunakan nama kode Charming Kitten, Phosphorus, dan TA453, mengutip tumpang tindih dengan perangkat yang sebelumnya diidentifikasi sebagai infrastruktur yang digunakan oleh aktor ancaman.

Pencadangan GitHub Otomatis

Log4Shell alias CVE-2021-44228 (Skor CVSS: 10.0) berkaitan dengan kerentanan keamanan kritis di perpustakaan logging Log4j populer yang, jika berhasil dieksploitasi, dapat menyebabkan eksekusi kode arbitrer jarak jauh pada sistem yang disusupi.

Kemudahan eksploitasi ditambah dengan meluasnya penggunaan perpustakaan Log4j telah menciptakan kumpulan target yang sangat besar, bahkan ketika kekurangan tersebut telah menarik segerombolan aktor jahat, yang telah memanfaatkan kesempatan untuk melakukan serangkaian serangan yang memusingkan sejak pengungkapan publik terakhir. bulan.

Sementara Microsoft sebelumnya menunjukkan upaya APT35 untuk memperoleh dan memodifikasi eksploitasi Log4j, temuan terbaru menunjukkan bahwa kelompok peretas telah mengoperasionalkan kelemahan untuk mendistribusikan implan PowerShell yang mampu mengambil modul tahap berikutnya dan mengekstrak data ke perintah-dan-kontrol ( C2) server.

Kerentanan Log4j

Modul CharmPower juga mendukung berbagai fungsi pengumpulan intelijen, termasuk fitur untuk mengumpulkan informasi sistem, membuat daftar aplikasi yang diinstal, mengambil tangkapan layar, menghitung proses yang berjalan, menjalankan perintah yang dikirim dari server C2, dan membersihkan tanda-tanda bukti yang dibuat oleh komponen ini.

Mencegah Pelanggaran Data

Pengungkapan itu muncul ketika Microsoft dan NHS memperingatkan bahwa sistem yang terhubung ke internet yang menjalankan VMware Horizon sedang ditargetkan untuk menyebarkan cangkang web dan jenis ransomware yang disebut NightSky, dengan raksasa teknologi yang menghubungkan yang terakhir ke operator berbasis di China yang dijuluki DEV-0401, yang juga telah menyebarkan ransomware LockFile, AtomSilo, dan Rook di masa lalu.

Terlebih lagi, Hafnium, kelompok aktor ancaman lain yang beroperasi di luar China, juga telah diamati memanfaatkan kerentanan untuk menyerang infrastruktur virtualisasi untuk memperluas penargetan khas mereka, Microsoft dicatat.

“Dilihat dari kemampuan mereka untuk mengambil keuntungan dari kerentanan Log4j dan dengan potongan kode pintu belakang CharmPower, para aktor dapat mengubah persneling dengan cepat dan secara aktif mengembangkan implementasi yang berbeda untuk setiap tahap serangan mereka,” kata para peneliti.

.

Pos terkait

Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan. Ruas yang wajib ditandai *