In acht nehmen! Bedrohungsakteure verwenden die Log4j, um neue Backdoor zu installieren

Es scheint, als würde Log4j im Jahr 2022 nirgendwo hingehen, ähnlich wie das neuartige Coronavirus. Die Katze ist aus dem Sack und rennt wild umher, ohne dass sie aufhört. Eine aktuelle Analyse der Sicherheitsfirma Check Point zeigt, dass ein staatlich unterstützter Bedrohungsakteur, der unter dem Handle APT35 bekannt ist, jetzt Log4j verwendet, um ein brandneues bösartiges Toolkit zu verteilen, das PowerShell verwendet.

Der gleiche Bedrohungsakteur wurde von den Sicherheitsforschern von Microsoft als Phosphorous bezeichnet. Die Hacker gelten als staatlich unterstützte iranische Gruppe. Letzte Woche warnte Microsoft vor mehreren staatlich unterstützten Bedrohungsakteuren, die bereits umfangreiche Sondierungen durchführen und nach Netzwerken suchen, die noch immer anfällige Log4j-Systeme offengelegt haben.

APT35 verwendet bekannte Tools

Die Recherchen von Check Point zum neuesten APT35-Fall zeigen, dass die Hacker in ihrem Job nicht besonders gut waren. Das Forschungspapier nennt ihren anfänglichen Angriffsvektor "rushed", indem sie ein grundlegendes Open-Source-Tool verwendet, das früher auf GitHub verfügbar war, bevor es ausgeschaltet wird.

Sobald APT35 Zugriff erhält, installiert die Gruppe eine modulare Backdoor basierend auf PowerShell, um Persistenz auf dem kompromittierten Netzwerk zu erreichen. Das gleiche PowerShell-Tool wird verwendet, um mit den C2-Servern zu kommunizieren und zusätzliche schädliche Module herunterzuladen und Befehle auszuführen.

Modulare Hintertür, die von APT35 verwendet wird

Das PowerShell-Modul erfasst Informationen über das kompromittierte System und sendet sie dann an den Kontrollserver zurück. Basierend auf der Antwort, die er erhält, kann der Server entscheiden, den Angriff fortzusetzen, indem er zusätzliche Module in C# oder PowerShell ausführt. Diese zusätzlichen Module führen verschiedene Aufgaben aus, wie zum Beispiel das Exfiltrieren von Informationen oder das Verschlüsseln vorhandener Daten im Netzwerk.

Die Funktionalität hört hier nicht auf. Einige Module ermöglichen das Erfassen von Screenshots, einige überwachen aktive Hintergrundprozesse und schließlich eines, das alle vom Scannen hinterlassenen Spuren entfernt, und die anderen Module, die ihre Prozesse beenden.

Trotz dieser scheinbar reichen Funktionalität des Toolkits, das über den ersten Angriff hinaus bereitgestellt wurde, hielten die Forscher APT35 nicht allzu hoch. Grund dafür war, dass die Hacker-Gruppe bisher bekannte öffentliche Tools nutzte, die eine Erkennung einfach machten und auf eine bereits vorhandene C2-Server-Infrastruktur setzte, die die Sicherheitsüberwachung weiter erleichtert und Alarmglocken läutet.

Es ist ziemlich sicher, dass wir im Laufe des Jahres 2022 von vielen neueren und immer kreativeren Angriffen hören werden, die Log4j-Schwachstellen auf die eine oder andere Weise missbrauchen. Hoffentlich werden Unternehmen und Software- und Plattformentwickler Hand in Hand und schnell zusammenarbeiten, um zumindest Schritt zu halten und nicht hinter den Hackern zurück zu bleiben.