SysAid yazılımını kullanarak İsrailli kuruluşları hedef aldığı tespit edilen İranlı ‘MuddyWater’ tehdit aktörünün gösterdiği gibi, bilgisayar korsanları savunmasız uygulamalardaki Log4j güvenlik açığından yararlanmaya devam ediyor.
Log4j’deki (“Log4Shell”) güvenlik açığı keşfedildi ve yamalandı Aralık 2021’de ancak hala vebalar açık kaynak kitaplığını kullanan geniş bir uygulama yelpazesi. Bu uygulamalardan biri, Ocak ayında hatalar için güvenlik güncellemeleri yayınlayan bir yardım masası yazılımı olan SysAid’dir.
MuddyWater, diğer adıyla ‘MERCURY’, işletildiğine inanılan bir casusluk grubudur. direkt olarak İran İstihbarat ve Güvenlik Bakanlığı (MOIS) tarafından yakın zamanda görülen telekomları hedefleme Orta Doğu ve Asya genelinde.
Belirli bir bilgisayar korsanlığı grubunun operasyonları İran’ın ulusal çıkarlarıyla uyumludur, bu nedenle sürekli olarak devletin düşmanı olarak kabul edilen İsrail varlıklarını suçlarlar.
İlk erişim için SysAid’den yararlanma
En son MuddyWater hackleme kampanyası, bir Microsoft raporu dün, şirket ağlarını ihlal etmek için savunmasız SysAid uygulamalarından yararlanmanın ilk örneğini oluşturuyor.
ÇamurluSu daha önce hedeflenen VMWare örnekleri Bu, web kabuklarını düşürmek için Log4j kusurları taşıyordu, ancak bunların sonunda yamalandığını varsayarak, tehdit aktörleri alternatif seçenekleri araştırdı.
SysAid, hala Log4j’yi içerdiğinden ve birçok kuruluş bunu bir BT yönetim aracı, hizmet masası ve yardım masası çözümü olarak kullandığından, bu anlamda mükemmel bir ilk erişim vektörüdür.
İranlı bilgisayar korsanları, ilk erişim için Log4Shell kusurlarından yararlanıyor, savunmasız uç noktalara gönderilen özel hazırlanmış bir istek aracılığıyla kötü amaçlı PowerShell çalıştırıyor ve web kabukları bırakıyor.
Bilgisayar korsanları, cmd.exe aracılığıyla gerekli bilgileri topladıktan sonra, bir kullanıcı ekler, ayrıcalıklarını yerel bir yöneticiye yükseltir ve ardından yeniden başlatmalar arasında kalıcılığı sağlamak için saldırı araçlarını başlangıç klasörlerine ekler.
Oradan MuddyWater, Mimikatz kullanarak kimlik bilgisi hırsızlığı, WMI ve RemCom aracılığıyla yanal hareket gerçekleştirebilir ve çalınan verileri Ligolo tünelleme aracının özelleştirilmiş bir sürümü aracılığıyla C2 sunucusuna gönderebilir.
Özel ters proxy iletişimleri
Ligolo, bilgisayar korsanlarının arka kapılar ve C2 altyapısı arasındaki iletişimi güvence altına almak için kullandığı açık kaynaklı bir ters tünel açma aracıdır.
MERCURY tarafından en son kampanyada kullanılan değiştirilmiş sürüm, “vpnui.exe” adlı bir yürütülebilir dosya biçiminde gelir.
Microsoft’un raporu belirli bir aracın ayrıntılarına girmese de, bir Mart 2022 raporu Security Joes tarafından bilgisayar korsanlarının yürütme kontrolleri ve komut satırı parametreleri gibi faydalı özellikler eklediğini bildirdi.
Güvenlik Joes, özelleştirilmiş Ligolo’nun görünümünü MuddyWater’a gevşek bir şekilde bağladı ve Microsoft’un son raporu bu atfı daha da doğruladı.
Rapor, MuddyWater algılama fırsatları ve son bölümünde arama sorguları hakkında daha fazla ayrıntı listeler, bu nedenle grubun hedefleme kapsamında olup olmadığınızı kontrol ettiğinizden emin olun.