एक ईरानी राज्य-प्रायोजित अभिनेता को स्कैनिंग और सार्वजनिक रूप से उजागर जावा अनुप्रयोगों में लॉग4शेल दोष का दुरुपयोग करने का प्रयास करते हुए देखा गया है, जो अब तक अनिर्दिष्ट पावरशेल-आधारित मॉड्यूलर बैकडोर डब किया गया है।आकर्षण शक्ति“शोषण के बाद अनुवर्ती कार्रवाई के लिए।

चेक प्वाइंट के शोधकर्ताओं ने कहा, “अभिनेता का हमला सेटअप स्पष्ट रूप से जल्दबाजी में किया गया था, क्योंकि उन्होंने शोषण के लिए बुनियादी ओपन-सोर्स टूल का इस्तेमाल किया था और पिछले बुनियादी ढांचे पर अपने संचालन को आधारित किया था, जिससे हमले का पता लगाना और विशेषता बनाना आसान हो गया था।” कहा इस सप्ताह प्रकाशित एक रिपोर्ट में।

इज़राइली साइबर सुरक्षा कंपनी ने हमले को एक समूह से जोड़ा है जिसे के रूप में जाना जाता है एपीटी35, जिसे कोडनेम चार्मिंग किटन, फॉस्फोरस और TA453 का उपयोग करके भी ट्रैक किया जाता है, जो पहले से खतरे वाले अभिनेता द्वारा उपयोग किए जाने वाले बुनियादी ढांचे के रूप में पहचाने जाने वाले टूलसेट के साथ ओवरलैप का हवाला देते हैं।

स्वचालित GitHub बैकअप

लॉग4शेल उर्फ सीवीई-2021-44228 (CVSS स्कोर: 10.0) लोकप्रिय Log4j लॉगिंग लाइब्रेरी में एक महत्वपूर्ण सुरक्षा भेद्यता की चिंता करता है, जिसका यदि सफलतापूर्वक उपयोग किया जाता है, तो समझौता किए गए सिस्टम पर मनमाने कोड का दूरस्थ निष्पादन हो सकता है।

शोषण में आसानी के साथ-साथ Log4j लाइब्रेरी के व्यापक उपयोग ने लक्ष्यों का एक विशाल पूल बनाया है, भले ही इस कमी ने बुरे अभिनेताओं के झुंड को आकर्षित किया है, जिन्होंने पिछले सार्वजनिक प्रकटीकरण के बाद से हमलों की एक चक्करदार सरणी को मंचित करने का अवसर जब्त कर लिया है। महीना।

जबकि Microsoft ने पहले Log4j कारनामे को प्राप्त करने और संशोधित करने के लिए APT35 के प्रयासों की ओर इशारा किया था, नवीनतम निष्कर्ष बताते हैं कि हैकिंग समूह ने अगले चरण के मॉड्यूल को पुनः प्राप्त करने और डेटा को कमांड-एंड-कंट्रोल में निकालने में सक्षम पॉवरशेल इम्प्लांट को वितरित करने के लिए दोष का संचालन किया है। सी 2) सर्वर।

चार्मपावर के मॉड्यूल विभिन्न प्रकार की खुफिया जानकारी एकत्र करने की कार्यक्षमता का भी समर्थन करते हैं, जिसमें सिस्टम जानकारी इकट्ठा करने, इंस्टॉल किए गए एप्लिकेशन सूचीबद्ध करने, स्क्रीनशॉट लेने, चल रही प्रक्रियाओं की गणना करने, सी 2 सर्वर से भेजे गए आदेशों को निष्पादित करने और इन घटकों द्वारा बनाए गए साक्ष्य के किसी भी संकेत को साफ करने की सुविधाएं शामिल हैं।

डेटा उल्लंघनों को रोकें

प्रकटीकरण Microsoft और NHS के रूप में आता है आगाह कि वीएमवेयर होराइजन चलाने वाले इंटरनेट-फेसिंग सिस्टम को वेब शेल और रैनसमवेयर के एक स्ट्रेन को तैनात करने के लिए लक्षित किया जा रहा है, जिसे नाइटस्काई कहा जाता है, जिसमें तकनीकी दिग्गज बाद में चीन-आधारित ऑपरेटर को DEV-0401 से जोड़ते हैं, जिसने लॉकफाइल, एटमसिलो, और को भी तैनात किया है। अतीत में रूक रैंसमवेयर।

इससे ज्यादा और क्या, हेफ़नियम, चीन से बाहर काम करने वाले एक और खतरे वाले अभिनेता समूह को भी अपने विशिष्ट लक्ष्यीकरण का विस्तार करने के लिए वर्चुअलाइजेशन बुनियादी ढांचे पर हमला करने के लिए भेद्यता का उपयोग करते हुए देखा गया है, माइक्रोसॉफ्ट विख्यात.

“Log4j भेद्यता का लाभ उठाने की उनकी क्षमता और चार्मपावर पिछले दरवाजे के कोड टुकड़ों के आधार पर, अभिनेता तेजी से गियर बदलने और अपने हमलों के प्रत्येक चरण के लिए सक्रिय रूप से विभिन्न कार्यान्वयन विकसित करने में सक्षम हैं,” शोधकर्ताओं ने कहा।

.


Source link

LEAVE A REPLY

Please enter your comment!
Please enter your name here