Resumen: Un grupo de hackers patrocinados por el estado iraní, han estado utilizando la vulnerabilidad de Log4j para distribuir una nueva puerta trasera de Powershell.
Los investigadores de CheckPoint Research presumen que los actores de amenaza detrás de esto forman parte del grupo APT35, también conocido como “Charming Kitten” o “Phosphorus”.
La firma en ciberseguridad ha estado rastreando los intentos de explotación del grupo, que aseguran fueron de los primeros en aprovechar la vulnerabilidad de Log4j.
Sumado a esto, los ataques que han ocurrido en los últimos días para distribuir la nueva herramienta de backdoor, se establecieron de forma apresurada, empleando la infraestructura previamente expuesta y ejecutada por el grupo, por lo que los investigadores afirman que es casi seguro que APT35 esté detrás de todo esto.
Para la ejecución del ataque, los atacantes llevan a cabo la explotación de la vulnerabilidad crítica de ejecución remota de código denominada como Log4Shell, mediante la ejecución de un comando Powershell con una carga útil codificada en base64.
Posteriormente, los atacantes obtendrán el módulo CharmPower de un cubo proveniente del servicio de almacenamiento Amazon S3.
CharmPower, mejor descrita como una puerta trasera modular basada en PowerShell, se encarga de mantener la persistencia descifrando la comunicación con el servidor de comando y control (C&C). Así mismo, posee la capacidad de validar la conexión a Internet mediante la realización de peticiones HTTP POST a google.com y de llevar a cabo la ejecución de comandos en los módulos adicionales de los sistemas comprometidos.
Es a través de una fase de reconocimiento, que se envía automáticamente al endpoint infectado la lista de módulos adicionales.
Los módulos adicionales incluyen: Procesos: Utilizando el comando "tasklist" captura los procesos en ejecución. Capturas de pantalla: Realiza capturas de pantalla según una frecuencia especificada y las sube a un servidor FTP utilizando credenciales codificadas. Aplicaciones: Mediante el comando "wmic" averigua las aplicaciones que están instaladas en el sistema.
Otros módulos integrados son la ejecución de comandos, la recolección de información y un módulo de limpieza que se encarga de eliminar cualquier rastro para evadir su detección.
Es preciso que todos los usuarios no dejen pasar por alto la actualización de Log4j en sus sistemas, ya que CharmPower es un claro ejemplo de como los actores de amenaza pueden crear una herramienta sofisticada con la explotación de vulnerabilidades previamente divulgadas.
Recomendaciones: Se les recomienda a todos los usuarios actualizar inmediatamente a la última versión 2.17.1 de Log4j.
Referencias: https://heimdalsecurity.com/blog/a-new-powershell-backdoor-is-being-used-in-log4j-attacks/
|
SÍGUENOS