Bilgisayar korsanları, SYSAID yazılımını kullanarak İsrail kuruluşlarını hedefleyen İran 'Muddywater' tehdit oyuncusu tarafından gösterildiği gibi, savunmasız uygulamalardaki Log4J güvenlik açığından yararlanmaya devam ediyor.
Log4J'deki (“Log4Shell”) güvenlik açığı Aralık 2021'de keşfedildi ve yamalandı, ancak yine de açık kaynak kütüphanesini kullanan çok çeşitli uygulamaları rahatsız ediyor. Bu uygulamalardan biri, Ocak ayında hatalar için güvenlik güncellemeleri yayınlayan bir yardım masası yazılımı olan SYSAID'dir.
Muddywater, yani ‘Merkür’, son zamanlarda Orta Doğu ve Asya'daki telkosları hedefleyen İran'ın İstihbarat ve Güvenlik Bakanlığı (MOI) tarafından işletildiğine inanılan bir casusluk grubudur.
Belirli bir hack grubunun operasyonları İran’ın ulusal çıkarlarıyla uyumludur, böylece devletin düşmanı olarak kabul edilen İsrail varlıklarını sürekli olarak dahil ederler.
Dün bir Microsoft raporunda özetlenen en son Muddywater Hacking kampanyası, kurumsal ağları ihlal etmek için savunmasız SYSAID uygulamalarından yararlanmanın ilk örneğini oluşturuyor.
Muddywater, web kabuklarını düşürmek için Log4J kusurları taşıyan VMware örneklerini daha önce hedeflemişti, ancak bunların sonunda yamalı olduğu varsayılarak, tehdit aktörleri alternatif seçenekleri araştırdı.
SYSAID, LOG4J'yi hala içerdiğinden ve çok sayıda kuruluş BT yönetim aracı, servis masası ve yardım masası çözümü olarak kullandığı için mükemmel bir başlangıç erişim vektörüdür.
İranlı hackerlar, ilk erişim için Log4shell kusurlarını kullanıyor ve kötü niyetli PowerShell'i savunmasız uç noktalara gönderilen özel hazırlanmış bir istekle çalıştırıyor ve web kabuklarını düşürüyor.
Gerekli bilgileri CMD.EXE aracılığıyla topladıktan sonra, bilgisayar korsanları bir kullanıcı ekler, ayrıcalıklarını yerel bir yöneticiye yükseltir ve ardından yeniden başlatmalar arasında kalıcılığı sağlamak için saldırı araçlarını başlangıç klasörlerine ekler.
Oradan, Muddywater, Mimikatz kullanarak kimlik bilgisi hırsızlığı, WMI ve Remcom üzerinden yanal hareket yapabilir ve Ligolo tünelleme aracının özelleştirilmiş bir sürümü aracılığıyla çalıntı verileri C2 sunucusuna gönderebilir.
Ligolo, bilgisayar korsanlarının arka kapı ve C2 altyapısı arasında iletişimi sağlamak için kullandıkları açık kaynaklı bir ters tünelleme aracıdır.
En son kampanyada Mercury tarafından kullanılan değiştirilmiş versiyon, “vpnui.exe” adlı bir yürütülebilir dosyası şeklinde geliyor.
Microsoft’un raporu belirli bir aracın ayrıntılarına girmese de, güvenlik Joes tarafından Mart 2022 raporundan, bilgisayar korsanlarının yürütme kontrolleri ve komut satırı parametreleri gibi yararlı özellikler eklediğini biliyoruz.
Güvenlik Joes, özelleştirilmiş Ligolo'nun görünümünü Muddywater'a gevşek bir şekilde ilişkilendirmişti ve Microsoft’un son raporu bu ilişkilendirmeyi daha da doğrulamaktadır.
Raporda, son bölümünde çamurlu su algılama fırsatları ve av sorguları hakkında daha fazla ayrıntı listeleniyor, bu nedenle grubun hedefleme kapsamı içinde olup olmadığınızı kontrol ettiğinizden emin olun.
Google: İranlı korsanlar, kurbanlardan e -posta çalmak için yeni araç kullanıyor
Ransomware'de Hafta - 5 Ağustos 2022 - Siber Sigortaya Bakış
Bilgisayar korsanları gazeteci olarak News Media Org’un ağlarını ihlal etmek için poz veriyor
Gizlilik Koruma Ajansı, Hacked Travel Company'nin sunucularını ele geçirdi
Google, 2021'de 50.000 devlet destekli saldırı uyarısı gönderdi
Kaynak: Bleeping Computer