Оружием в руках злоумышленников стала уязвимость в Log4j.
Иранские государственные хакеры продолжают использовать уязвимость в Log4j для атак на израильские организации. Microsoft приписывает последние атаки группировке MuddyWater (она же Cobalt Ulster, Mercury, Seedworm или Static Kitten), которая связана с Министерством информации и национальной безопасности Ирана (MOIS).
Чтобы получить первоначальный доступ в среды израильских организаций, хакеры использовали экземпляры SysAid Server, не защищенные от уязвимости в Log4Shell, что является отклонением от стандартной стратегии – использования VMware для проникновения в системы жертв. В сообщении Microsoft говорится, что после получения доступа к нужной среде, злоумышленники закрепляются в ней, сбрасывают учетные данные и перемещаются внутри систем целевой организации, используя пользовательские и хакерские инструменты, чтобы проводить атаки с использованием клавиатуры.
https://lh6.googleusercontent.com/Ps...-uve9toxK1kOag
Схематично изображенная цепочка атак MuddyWater
Аналитики Microsoft зафиксировали атаки в период с 23 по 25 июля 2022 года. По словам специалистов, после успешного взлома, злоумышленники развертывают веб-оболочки, с помощью которых хакеры получают возможность проводить разведку, красть учетные данные, закрепляться и перемещаться в системах жертвы.
Для обеспечения связи с C&C-инфраструктурой киберпреступники использовали ПО eHorus и Ligolo.
Напомним, уязвимость в Log4j используется не только хакерами, но и пентестерами. Не так давно, используя ошибку, связанную с Log4j, пентестер взломал крупного оператора связи Канады.