Оружием в руках злоумышленников стала уязвимость в Log4j.
Иранские государственные хакеры продолжают использовать уязвимость в Apache Log4j — это утилита ведения журналов на основе Java с открытым исходным кодом.
Чтобы получить первоначальный доступ в среды израильских организаций, хакеры использовали экземпляры SysAid Server, не защищенные от уязвимости в Log4Shell, что является отклонением от стандартной стратегии – использования VMware для проникновения в системы жертв. В сообщении Microsoft говорится, что после получения доступа к нужной среде, злоумышленники закрепляются в ней, сбрасывают учетные данные и перемещаются внутри систем целевой организации, используя пользовательские и хакерские инструменты, чтобы проводить атаки с использованием клавиатуры.
Схематично изображенная цепочка атак MuddyWater.
Аналитики Microsoft зафиксировали атаки в период с 23 по 25 июля 2022 года. По словам специалистов, после успешного взлома, злоумышленники развертывают веб-оболочки, с помощью которых хакеры получают возможность проводить разведку, красть учетные данные, закрепляться и перемещаться в системах жертвы.
Для обеспечения связи с C&C-инфраструктурой киберпреступники использовали ПО eHorus и Ligolo.
Напомним, уязвимость в Log4j используется не только хакерами, но и пентестерами. Не так давно, используя ошибку, связанную с Log4j, пентестер взломал крупного оператора связи Канады.
