Microsoft заявляет, что иранские хакеры в государственных службах используют Log4Shell против Израиля

Иранская хакерская группа MuddyWater, предположительно связанная с государственной разведывательной службой страны, как сообщается, продолжает использовать уязвимость Log4j для доступа к корпоративным сетям в Израиле в рамках продолжающейся прокси-войны между двумя странами.

Согласно отчету, опубликованному Microsoft, злоумышленник, также известный как Mercury, нацелился на уязвимости в SysAid, популярном программном обеспечении для управления ИТ, используемом многими израильскими организациями.

Киберкомандование США ранее объявило, что группа связана с министерством разведки и безопасности Ирана. В декабре группа нацелилась на поставщиков телекоммуникационных и ИТ-услуг на Ближнем Востоке и в Азии.

Новая атака MuddyWater, обнаруженная Microsoft в конце июля, является еще одним примером спонсируемых государством операций, использующих Log4Shell, уязвимость в библиотеке Java Log4j, используемую для добавления возможностей ведения журнала в веб-приложения и настольные приложения.

Ранее в декабре Microsoft обнаружила, что государственные группы из Китая, Ирана, Северной Кореи и Турции злоупотребляют Log4Shell для получения доступа к целевым сетям. MuddyWater, например, использовала ошибки в Log4j для эксплуатации уязвимостей в приложениях VMware, которые в итоге были исправлены.

По данным Microsoft, в поисках альтернативы иранские хакеры обратились к SysAid, еще одной привлекательной цели, поскольку она используется многими организациями в Израиле.

Группа использовала ошибки в Log4j, чтобы получить первоначальный доступ к непропатченным системам SysAid, и сбрасывала зараженный скрипт, веб-шелл для запуска вредоносных команд. Затем хакеры добавили нового пользователя и повысили его привилегии до локального администратора. Они также добавили вредоносное ПО в папки автозагрузки, чтобы гарантировать доступ, даже если жертва перезагрузит свою систему. По данным Microsoft, хакеры похитили учетные данные пользователей с помощью приложения Mimikatz с открытым исходным кодом.

Корпорация Майкрософт призвала организации, использующие SysAid, установить исправления и обновления безопасности для затронутых продуктов и услуг. SysAid исправила Log4j для своих продуктов в январе, через месяц после того, как ошибка была обнаружена сотрудником китайского технологического гиганта Alibaba.

Microsoft также выпустила индикаторы компромиссов, которые позволяют компаниям проверять, существуют ли они в их системах.

Уязвимость Log4j присутствует почти во всех основных корпоративных приложениях и серверах на базе Java. Он также в некоторой степени используется проектами с открытым исходным кодом, такими как Redis, ElasticSearch, Elastic Logstash и Ghidra NSA. Среди компаний, чьи серверы могут быть уязвимы для атак Log4Shell, — Apple, Amazon, Twitter, Cloudflare, Steam, Tencent и Baidu.

Эксперты по кибербезопасности предупреждают, что с оценкой 10/10 по шкале серьезности CVSSv3 Log4Shell открывает сотни миллионов устройств для эксплойтов.

Ранее в августе Министерство внутренней безопасности США признало, что пройдут годы, прежде чем Log4j будет исправлен. Исследователи также называют это «эндемическим разрывом».