Faire attention! Menaces utilisant Log4j pour installer une nouvelle porte dérobée

Il semble que Log4j n'aille nulle part en 2022, un peu comme le nouveau coronavirus. Le chat est sorti du sac et il se déchaîne, sans aucun signe d'arrêt. Une analyse récente de la société de sécurité Check Point montre qu'un acteur de menace soutenu par l'État connu sous le pseudo APT35 utilise désormais Log4j pour distribuer une toute nouvelle boîte à outils malveillante qui utilise PowerShell.

Le même acteur de menace a été nommé Phosphorous par les chercheurs en sécurité de Microsoft. Les pirates sont considérés comme un groupe iranien soutenu par l'État. La semaine dernière, Microsoft a mis en garde contre plusieurs acteurs de la menace soutenus par l'État qui effectuaient déjà des sondages à grande échelle, recherchant des réseaux qui ont encore exposé des systèmes vulnérables Log4j.

APT35 utilise des outils connus

Les recherches effectuées par Check Point sur le dernier cas APT35 montrent que les pirates n'étaient pas particulièrement bons dans leur travail. Le document de recherche qualifie leur vecteur d'attaque initial de "précipité", à l'aide d'un outil open source de base, anciennement disponible sur GitHub, avant son retrait.

Une fois l'accès à APT35 obtenu, le groupe installe une porte dérobée modulaire basée sur PowerShell afin d'assurer la persistance sur le réseau compromis. Le même outil PowerShell est utilisé pour communiquer avec les serveurs C2 et télécharger des modules malveillants supplémentaires et exécuter des commandes.

Porte dérobée modulaire utilisée par APT35

Le module PowerShell récupère les informations sur le système compromis, puis les renvoie au serveur de contrôle. En fonction de la réponse qu'il obtient, le serveur peut décider de poursuivre l'attaque, en exécutant des modules supplémentaires en C# ou PowerShell. Ces modules supplémentaires effectuent diverses tâches, telles que l'exfiltration d'informations ou le cryptage de données existantes sur le réseau.

La fonctionnalité ne s'arrête pas là. Certains modules permettent de saisir des captures d'écran, certains surveillent les processus d'arrière-plan actifs, et enfin, un qui nettoie toute trace laissée par l'analyse, et les autres modules, tuant leurs processus.

Malgré cette fonctionnalité apparemment riche de la boîte à outils déployée au-delà de l'attaque initiale, les chercheurs n'ont pas trop apprécié APT35. La raison en était que le groupe de pirates utilisait des outils publics connus auparavant qui facilitaient la détection et s'appuyait sur une infrastructure de serveur C2 déjà existante qui facilite encore la surveillance de la sécurité et sonne l'alarme.

Il est à peu près certain que nous entendrons parler de nombreuses attaques plus récentes et de plus en plus créatives qui abusent des vulnérabilités de Log4j d'une manière ou d'une autre tout au long de 2022. Espérons que les entreprises et les développeurs de logiciels et de plates-formes travailleront main dans la main et rapidement, pour au moins rester dans le rythme. et ne restez pas à la traîne des pirates.