¡Tener cuidado! Agentes de amenazas que usan Log4j para instalar una nueva puerta trasera

Parece que Log4j no irá a ninguna parte en 2022, al igual que el nuevo coronavirus. El gato está fuera de la bolsa y está corriendo salvajemente, sin señales de detenerse. Un análisis reciente de la firma de seguridad Check Point muestra que un actor de amenazas respaldado por el estado conocido bajo el nombre de usuario APT35 ahora está usando Log4j para distribuir un nuevo kit de herramientas maliciosas que usa PowerShell.

El mismo actor de amenazas ha sido nombrado Phosphorous por los investigadores de seguridad de Microsoft. Se considera que los piratas informáticos son un grupo iraní respaldado por el estado. La semana pasada, Microsoft advirtió sobre múltiples actores de amenazas respaldados por el estado que ya están realizando sondeos a gran escala, en busca de redes que aún tienen expuestos los sistemas vulnerables de Log4j.

APT35 utiliza herramientas conocidas

La investigación que realizó Check Point sobre el último caso APT35 muestra que los piratas informáticos no eran particularmente buenos en su trabajo. El documento de investigación llama a su vector de ataque inicial "apresurado", utilizando una herramienta básica de código abierto, anteriormente disponible en GitHub, antes de su desmantelamiento.

Una vez que APT35 obtiene acceso, el grupo instala una puerta trasera modular basada en PowerShell para lograr la persistencia en la red comprometida. La misma herramienta PowerShell se utiliza para comunicarse con los servidores C2 y descargar módulos maliciosos adicionales y ejecutar comandos.

Puerta trasera modular utilizada por APT35

El módulo de PowerShell extrae información sobre el sistema comprometido y luego la envía de vuelta al servidor de control. Según la respuesta que obtenga, el servidor puede decidir continuar con el ataque, ejecutando módulos adicionales en C# o PowerShell. Esos módulos adicionales realizan varias tareas, como filtrar información o cifrar datos existentes en la red.

La funcionalidad no se detiene aquí. Algunos módulos permiten tomar capturas de pantalla, algunos monitorean procesos activos en segundo plano y, finalmente, uno que limpia cualquier rastro dejado por el escaneo y los otros módulos, eliminando sus procesos.

A pesar de esta funcionalidad aparentemente rica del conjunto de herramientas implementada más allá del ataque inicial, los investigadores no pensaron demasiado en APT35. La razón de esto fue que el grupo de piratas informáticos usó herramientas públicas previamente conocidas que facilitaban la detección y se basó en una infraestructura de servidor C2 ya existente que facilita aún más las cosas para el monitoreo de seguridad y hace sonar las alarmas.

Es bastante seguro que escucharemos sobre muchos ataques nuevos y cada vez más creativos que abusan de las vulnerabilidades de Log4j de una forma u otra a lo largo de 2022. Con suerte, las empresas y los desarrolladores de software y plataformas trabajarán de la mano y rápidamente, para al menos mantenerse al día. y no se quede atrás de los piratas informáticos.