Beklendiği gibi, her türden ulus devlet korsanları, Apache Log4j Java tabanlı günlük kitaplığında yakın zamanda açıklanan kritik güvenlik açığından (CVE-2021-44228) yararlanma fırsatına atladı.
Log4Shell veya LogJam olarak da bilinen güvenlik açığı şu anda Çin, İran, Kuzey Kore ve Türkiye’deki hükümetlerle bağlantılı tehdit aktörlerinin yanı sıra fidye yazılımı çeteleri tarafından kullanılan erişim aracıları tarafından kullanılıyor.
Tüm bilgisayar korsanları Log4Shell’e geçer
Yükleri düşürmek için Log4Shell’den yararlanan ilk tehdit aktörleri arasında kripto para madenciliği grupları ve botnet’ler var. hemen saldırmaya başladı kavram kanıtı istismar kodu kullanıma sunulduktan sonra.
Pazar günü yayınlanan bir raporda, Microsoft Tehdit İstihbarat Merkezi (MSTIC), kritik Log4j hatasını gözlemledi. Kobalt Strike işaretlerini düşürmek için kullanıldıBu, yük genellikle ağ ihlallerinin bir parçası olduğu için daha fazla tehditkar aktörün oyunda olduğunu gösterebilir.
MSTIC, Salı günü, Log4Shell kullanarak, bazen aktif saldırılarda ulus devlet faaliyeti tespit ettiğini eklemek için raporu güncelledi. Araştırmacılar, “Çin, İran, Kuzey Kore ve Türkiye’den gelen grupları” takip etti.
“Bu etkinlik, geliştirme sırasında denemeler yapmaktan, güvenlik açığının vahşi doğada yük dağıtımına entegrasyonundan ve aktörün hedeflerine ulaşmak için hedeflere karşı istismardan yararlanır” Microsoft Tehdit İstihbarat Merkezi
Aktörlerden biri, Microsoft’un Log4Shell istismarında “edindiğini ve değişiklikler yaptığını” gözlemlediği Charming Kitten, APT 35 olarak da izlenen İranlı tehdit grubu Phosphorus.
Bugünlerde faaliyet gösteren çoğu APT grubunun aksine, Charming Kitten ayrıca siber casusluk faaliyeti ile birlikte esas olarak nakit almak yerine operasyonları bozmak için fidye yazılımı saldırıları geçmişine sahiptir.
Log4Shell hatasından yararlanan bir başka ulus devlet tehdit aktörü, Çin ile bağlantılı bir bilgisayar korsanlığı grubu olan Hafnium.
Düşman daha sonra daha geniş çapta tanındı Microsoft Exchange Server’daki ProxyLogon sıfır gün güvenlik açıklarından yararlanma Aradaki dönemde hatalar bildirildi ve bir yama kullanıma sunuldu.
Microsoft, Hafnium’un artık sanallaştırma altyapısına yönelik saldırılarda “tipik hedeflemelerini genişletmek için Log4Shell” kullandığını söylüyor.
Araştırmacılara göre, Hafnium’un bu saldırılarda kullandığı sistemler, normalde parmak izi makinelerine yapılan testlerde görülen bir DNS hizmeti kullanıyordu.
Siber güvenlik firması Mandiant, Çinli ve İranlı devlet aktörlerinin saldırılarda Log4j güvenlik açığını kullandığını ve diğer grupların da aynı şeyi yapmasını veya hazırlık aşamasında olmasını beklediğini doğruladı.
Mandiant’ta İstihbarat Analizi Başkan Yardımcısı John Hultquist, BleepingComputer’a, rakiplerin saldırının gelecekteki gelişimi için hedeflenen ağlarda kalıcılık oluşturmak için zaman kaybetmeyeceklerini söyledi.
“Bu aktörlerin, bir süre sürebilecek, takip eden faaliyetler için arzu edilen ağlarda dayanaklar oluşturmak için hızla çalışacaklarına inanıyoruz. Bazı durumlarda, bu güvenlik açığı kamuya açık hale gelmeden çok önce var olan hedeflerden oluşan bir istek listesinden çalışacaklardır. Diğer durumlarda, geniş hedeflemeden sonra arzu edilen hedefler seçilebilir” – John Hultquist
MSTIC’den gelen rapor, Kuzey Kore ve Türkiye’den devlet destekli hack gruplarından da bahsederken, araştırmacılar bu aktörlerin Log4Shell’den nasıl yararlandıklarına dair herhangi bir bilgi sunmadı.
Fidye yazılımı saldırıları bekleniyor
Microsoft, ulus devlet aktörlerinin yanı sıra, çeşitli gruplara ilk ağ erişimi sağlayan ve çoğunlukla finansal olarak motive olan aracıların da Log4j kusurundan yararlanmaya başladığını doğruladı.
İlk erişim aracıları, genellikle, güvenliği ihlal edilmiş şirket ağlarına erişim sattıkları bir hizmet olarak fidye yazılımı (RaaS) operasyonlarıyla çalışır.
“Bu grupların hem Linux hem de Windows sistemlerinde istismar girişiminde bulunduğunu ve bunun da bu işletim sistemi platformlarının her ikisi üzerinde insan tarafından işletilen fidye yazılımı etkisinin artmasına neden olabileceğini gözlemledik” – Microsoft Threat Intelligence Center
Log4Shell zaten bir fidye yazılımı saldırısında kullanıldı. Khonsari adında yeni aktör, Bitdefender’dan bir rapor gösteriyor.
Mevcut bilgilere dayanarak, Khonsari, verileri şifrelemek yerine silmek için kullanılabilir çünkü fidye notu, saldırgan yerine Louisiana antika dükkanı sahibinin iletişim bilgilerini içerir.
Log4Shell’in her türden bilgisayar korsanını çekmesi şaşırtıcı değil. Hatanın bir maksimum önem puanı vardır ve güvenlik açığı bulunan bir sistemin tam kontrolünü ele geçirmek için kimlik doğrulama olmadan uzaktan kullanılabilir. Ayrıca, savunmasız Log4j kitaplığı, ürünlere dahil edilmiştir. düzinelerce satıcı.
Bu hatanın neden olabileceği hasar göz önüne alındığında, Siber Güvenlik Altyapı Güvenlik Ajansı (CISA) sipariş edilen federal kurumlar sistemleri hemen yamalamak için.