Log4j kusurunun tarandığı İran devleti tarafından destekli tehdit aktörlerinin, kamuya açık uygulamalarında shell komutunu çalıştırdığı ve bu açıktan yararlanarak takip için “CharmPower” adlı şimdiye kadar belgelenmemiş bir PowerShell arka kapısı dağıtmaya çalıştığı gözlemlendi.
Araştırmacılar raporlarında, “tehdit aktörlerinin saldırısı istismar için açık kaynaklı bir araç kullandıkları ve operasyonlarını sistemlerin güncellenmesinden önceki altyapıya dayandırdıkları için açıkça aceleye geldi, bu da tehdit aktörlerinin tespit edilmesini ve bulunmasını kolaylaştırdı” dedi.
İsrailli bir siber güvenlik şirketi bu saldırıyı APT35 olarak bilinen aynı zamanda Charming Kitten, Phosphorus ve TA453 kod adlarını kullanan bir grupla eşleştirdi ve daha önce bu tehdit aktörleri tarafından kullanışmış olan altyapı araç setlerine atıfta bulundu.
Log4Shell namı değer CVE-2021-44228 yani popüler adı log4j başarıyla kullanılırsa güvenliği ihlal edilmiş sistemlerde rastgele kodların uzaktan yürütülmesine yol açabilecek kritik bir güvenlik açığıdır.
Log4j kütüphanesinin yaygınlaşmasıyla istismar olaylarının kolaylığı, devam eden günlerde yapılan açıklamalarla baş döndürücü bir dizi saldırı gerçekleştirme fırsatını yakalayan tehdit aktörlerinin büyük oranda durdurmuş olsa da, geniş bir hedef havuzu yaratmıştır.
Microsoft daha önce APT35’in Log4j için istismar edilme ve bunu değiştirme çabalarına dikkat çekmeye çalışsa da, en son bulgular bilgisayar korsanlarının sonraki aşamalar için modüllerini alabilen ve verileri bir komut sayesinde kontrole aktarabilen PowerShell arka kapısını dağıtmak için Log4j kusurunu operasyonel hale getirdiğini göstermiştir.
Log4Shell açığı için CharmPower’ın modüllerinde sistem bilgilerini toplama, kurulmuş olan uygulamaları listeleme, ekran görüntülerini alma, çalışmakta olan süreçleri numaralandırma, C2 sunucusundan gönderilmiş olan komutları yürütme ve bu bileşenlerin loglarını temizleme özelliklerini temizleme özellikleri de dahil olmak üzere çeşitli istihbarat toplama işlevlerini desteklemektedir.
Yapılan açıklama, Microsoft ve NHS’nin, VMware Horizon çalıştırmakta olan internete yönelik sistemlerin web kabuklarını ve NightSky adlı bir fidye yazılımını dağıtmayı hedeflediği konusunda uyardığı sırada gelmiştir.
Geçmişte LockFile, AtomSilo ve Rook fidye yazılımlarını da dağıtmıştır.
Microsoft, Çin dışında faaliyet göstermekte olan başka bir tehdit aktörü grubu olan Hafnium’un da hedeflerini genişletmek için sanallaştırma teknolojilerine saldırmak için log4j güvenlik açığını kullandığını gözlemledi.
Araştırmacılar, “Log4j güvenlik açığından yararlanma ve bunları kullanma konusunda CharmPower arka kapısının modüllerine bakılırsa, tehdit aktörleri vites değiştirebiliyorlar ve saldırılarının her aşaması için ihtiyaçlarına uygun farklı uygulamalar geliştirebiliyorlar” dedi.
Bu makalemizi beğendiyseniz sizleri Neden FortiGate’i OzzTech’den Almalısınız? adlı makalemize bekleriz: https://www.ozztech.net/siber-guvenlik/neden-fortigatei-ozztechden-almalisiniz/