Vulnérabilité Log4J

Un acteur parrainé par l’État iranien a été observé en train de scanner et de tenter d’abuser de la faille Log4Shell dans des applications Java exposées publiquement pour déployer une porte dérobée modulaire basée sur PowerShell jusqu’à présent non documentée, baptisée « CharmePuissance » pour le suivi post-exploitation.

« La configuration de l’attaque de l’acteur était évidemment précipitée, car ils utilisaient l’outil open source de base pour l’exploitation et basaient leurs opérations sur l’infrastructure précédente, ce qui facilitait la détection et l’attribution de l’attaque », a déclaré des chercheurs de Check Point. mentionné dans un rapport publié cette semaine.

La société de cybersécurité israélienne a lié l’attaque à un groupe connu sous le nom de APT35, qui est également suivi à l’aide des noms de code Charming Kitten, Phosphorus et TA453, citant des chevauchements avec des ensembles d’outils précédemment identifiés comme une infrastructure utilisée par l’acteur de la menace.

Sauvegardes Automatiques Github

Log4Shell alias CVE-2021-44228 (score CVSS : 10,0) concerne une vulnérabilité de sécurité critique dans la bibliothèque de journalisation populaire Log4j qui, si elle est exploitée avec succès, pourrait conduire à l’exécution à distance de code arbitraire sur des systèmes compromis.

La facilité d’exploitation associée à l’utilisation généralisée de la bibliothèque Log4j a créé un vaste bassin de cibles, même si la lacune a attiré des essaims de mauvais acteurs, qui ont saisi l’opportunité de mettre en scène une série vertigineuse d’attaques depuis sa dernière divulgation publique. mois.

Publicité

Alors que Microsoft avait précédemment souligné les efforts d’APT35 pour acquérir et modifier l’exploit Log4j, les dernières découvertes montrent que le groupe de piratage a opérationnalisé la faille pour distribuer l’implant PowerShell capable de récupérer les modules de la prochaine étape et d’exfiltrer les données vers un système de commande et de contrôle ( serveur C2).

Vulnérabilité Log4J

Les modules de CharmPower prennent également en charge une variété de fonctionnalités de collecte de renseignements, notamment des fonctionnalités permettant de collecter des informations sur le système, de répertorier les applications installées, de prendre des captures d’écran, d’énumérer les processus en cours, d’exécuter des commandes envoyées depuis le serveur C2 et de nettoyer tout signe de preuve créé par ces composants.

Prévenir Les Violations De Données

La divulgation intervient alors que Microsoft et le NHS ont averti que les systèmes Internet exécutant VMware Horizon sont ciblés pour déployer des shells Web et une souche de ransomware appelée NightSky, le géant de la technologie connectant ce dernier à un opérateur basé en Chine surnommé DEV-0401, qui a également déployé LockFile, AtomSilo et Rook ransomware dans le passé.

De plus, Hafnium, un autre groupe d’acteurs menaçants opérant à partir de Chine, a également été observé en utilisant la vulnérabilité pour attaquer l’infrastructure de virtualisation pour étendre son ciblage typique, Microsoft c’est noté.

« À en juger par leur capacité à tirer parti de la vulnérabilité Log4j et par les éléments de code de la porte dérobée CharmPower, les acteurs sont capables de changer de vitesse rapidement et de développer activement différentes implémentations pour chaque étape de leurs attaques », ont déclaré les chercheurs.


Rate this post
Publicité
Article précédentL’application Huawei Petal Mail teste de nouvelles fonctionnalités avec la dernière version
Article suivantAvalanche et HUH Token s’efforcent d’obtenir une année de succès cryptographique
Avatar De Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici