Atores patrocinados pelo estado iraniano não estão deixando pedra sobre pedra para explorar sistemas não corrigidos que executam o Log4j para atingir entidades israelenses, indicando a longa cauda da vulnerabilidade para correção.
A Microsoft atribuiu o último conjunto de atividades ao grupo de ameaças rastreado como MuddyWater (também conhecido como Cobalt Ulster, Mercury, Seedworm ou Static Kitten), que está ligado ao aparato de inteligência iraniano, o Ministério de Inteligência e Segurança (MOIS).
Os ataques são notáveis por usar instâncias do SysAid Server inseguras contra a falha do Log4Shell como um vetor para acesso inicial, marcando um desvio do padrão dos atores de alavancar aplicativos VMware para violar ambientes de destino.
“Depois de obter acesso, a Mercury estabelece persistência, despeja credenciais e se move lateralmente dentro da organização-alvo usando ferramentas de hacking personalizadas e conhecidas, bem como ferramentas integradas do sistema operacional para seu ataque direto ao teclado”, disse a Microsoft. .
A equipe de inteligência de ameaças da gigante da tecnologia disse que observou os ataques entre 23 e 25 de julho de 2022.
Diz-se que um compromisso bem-sucedido foi seguido pela implantação de shells da Web para executar comandos que permitem que o ator realize reconhecimento, estabeleça persistência, roube credenciais e facilite o movimento lateral.
O amplo uso do Log4j em muitos softwares e serviços de fornecedores significa que adversários sofisticados, como atores do estado-nação e operadores de commodities, aproveitaram oportunisticamente a vulnerabilidade para montar uma variedade de ataques.
Os ataques do Log4Shell também seguem um relatório recente da Mandiant que detalhou uma campanha de espionagem destinada a organizações de transporte, governo, energia e saúde israelenses por um provável grupo de hackers iranianos apelidado de UNC3890 .
Gostou da notícia? Não esqueça de curtir e compartilhar com seus amigos.
Fonte: The hacker news