Microsoft предупреждает, что хакеры все еще злоупотребляют развертыванием Log4j
26 августа 2022 г.Log4Shell, одна из крупнейших и потенциально наиболее разрушительных уязвимостей, которые когда-либо были обнаружены, все еще используется злоумышленниками спустя более полугода после того, как она была впервые обнаружена и исправлена.
В новом отчете Microsoft Threat Intelligence Center (MSTIC) и исследовательской группы Microsoft 365 Defender говорится, что недавно обнаруженные злоумышленники, известные как MERCURY (также известные как MuddyWater), используют Log4Shell против организаций, расположенных в Израиле. . Считается, что MERCURY — спонсируемая государством угроза из Ирана, находящаяся под непосредственным командованием Министерства разведки и безопасности Ирана.
Преступники использовали уязвимость в приложениях SysAid, что является относительно новым подходом, Команды сказали: «Хотя MERCURY использовал эксплойты Log4j 2 в прошлом, например, в уязвимых приложениях VMware, мы до сих пор не видели, чтобы этот субъект использовал приложения SysAid в качестве вектора для начального доступа».
Установка сохраняемости, кража данных
Группа использует Lof4Shell для получения доступа к целевым конечным точкам и удаления веб-оболочек, которые дают им возможность выполнять несколько команд. Большинство из них предназначены для разведки, но один загружает больше хакерских инструментов.
После использования Log4Shell для получения доступа к целевым конечным точкам, MERCURY устанавливает персистентность, сбрасывает учетные данные и перемещается по целевой сети в горизонтальном направлении, сообщает Microsoft.
Он добавляет новую учетную запись администратора в скомпрометированную систему, а также использует программное обеспечение в папках автозагрузки и ключах реестра ASEP, чтобы обеспечить сохранение даже после перезагрузки.
Чтобы уменьшить угрозу MERCURY, Microsoft рекомендует принять ряд мер безопасности, в том числе проверить, использует ли организация SysAid, и применить меры безопасности исправления и обновления, если они доступны.
Организациям также следует блокировать входящий трафик с IP-адресов, указанных в таблице индикаторов компрометации, найденной здесь. Все действия по проверке подлинности для инфраструктуры удаленного доступа должны быть пересмотрены, при этом ИТ-специалисты должны сосредоточиться в основном на учетных записях, настроенных с однофакторной проверкой подлинности. Наконец, многофакторная аутентификация (MFA) должна быть включена везде, где это возможно.
.Оригинал