Log4j: Bagaimana peretas menggunakan kelemahan untuk menghadirkan pintu belakang ‘modular’ baru ini
Security

Log4j: Bagaimana peretas menggunakan kelemahan untuk menghadirkan pintu belakang ‘modular’ baru ini

Kelompok peretasan yang didukung Iran, Fosfor atau APT35 menggunakan kerentanan Log4j untuk mendistribusikan toolkit PowerShell modular baru, menurut perusahaan keamanan Check Point.

APT35 adalah salah satu dari beberapa kelompok peretas yang didukung negara yang diketahui telah mengembangkan alat untuk mengeksploitasi aplikasi Java yang menghadap publik yang menggunakan versi rentan dari komponen pencatatan kesalahan Log4j.

Microsoft, yang melacak grup tersebut sebagai Phosphorous dan menyerukannya karena semakin sering menggunakan ransomware dalam serangan, menemukan bahwa mereka telah mengoperasionalkan eksploitasi Log4j untuk kampanye mendatang kurang dari seminggu setelah pengungkapan Log4Shell pada 9 Desember.

MELIHAT: Log4j zero-day defect: Apa yang perlu Anda ketahui dan bagaimana melindungi diri sendiri

Menurut analisis lebih lanjut oleh Check Point, pekerjaan Log4j APT35 ceroboh dan “jelas terburu-buru”, menggunakan kit eksploit JNDI dasar yang tersedia untuk umum (sekarang dihapus dari GitHub) untuk serangan yang mudah dideteksi dan diatribusikan.

Setelah mengeksploitasi Log4j pada sistem yang menghadap publik, grup menggunakan apa yang digambarkan oleh Check Point sebagai ‘pintu belakang modular berbasis PowerShell’ untuk kegigihan, komunikasi dengan server perintah dan kontrol (C&C), dan eksekusi perintah untuk modul tambahan.

Modul utama kerangka PowerShell penyerang memvalidasi koneksi jaringan, menghitung karakteristik tentang sistem yang disusupi, mengambil domain C&C dari URL yang di-hardcode, dan mengambil, mendekripsi, dan mengeksekusi modul berikutnya. Setelah menerima informasi tentang sistem yang disusupi, server C&C tidak mengeluarkan perintah atau menginstruksikan modul untuk mengeksekusi modul lain yang ditulis sebagai skrip PowerShell atau kode C#.

Komunikasi bolak-balik antara target dan C&C berjalan terus menerus untuk menentukan modul apa yang selanjutnya harus diserahkan ke target, sesuai Check Point.

Setiap modul tambahan bertanggung jawab untuk mengenkripsi data, eksfiltrasi melalui web atau server FTP, dan mengirimkan log eksekusi ke server jauh.

Tetapi setiap modul memiliki kemampuan unik, seperti satu untuk mendaftar aplikasi yang diinstal, satu lagi untuk mengambil tangkapan layar, dan lebih banyak lagi untuk mendaftar proses yang berjalan, enumerasi, dan menjalankan perintah yang telah ditentukan sebelumnya dari C&C. “Modul pembersihan” terakhir dijatuhkan di akhir aktivitas pengumpulan yang menghilangkan bukti, seperti menjalankan proses yang dibuat oleh modul yang digunakan sebelumnya.

“Modul yang dikirim oleh C&C dijalankan oleh modul utama, dengan masing-masing melaporkan data kembali ke server secara terpisah,” jelas Check Point.

“Siklus C&C ini berlanjut tanpa batas, yang memungkinkan pelaku ancaman untuk mengumpulkan data pada mesin yang terinfeksi, menjalankan perintah sewenang-wenang, dan mungkin meningkatkan tindakan mereka dengan melakukan gerakan lateral atau mengeksekusi malware lanjutan seperti ransomware.”

Pada kualitas kerja grup, Check Point mendapat sedikit pujian karena, tidak seperti kebanyakan ancaman persisten tingkat lanjut, mereka tidak repot mengubah alat dan infrastruktur untuk serangan baru dan dikenal membuat kesalahan keamanan operasional (OpSec).

“Grup ini terkenal di komunitas keamanan siber karena jumlah kesalahan OpSec dalam operasi mereka sebelumnya, dan mereka cenderung tidak terlalu berusaha mengubah infrastruktur mereka begitu terungkap,” catat Check Point.

Perusahaan mengatakan ada gaya pengkodean yang serupa antara skrip PowerShell yang digunakan untuk Log4Shell dan yang digunakan grup dalam spyware Android yang dirinci oleh Grup Analisis Ancaman Google pada bulan Oktober.

Terlepas dari konfirmasi Badan Keamanan Cybersecurity dan Infrastruktur (CISA) AS bahwa tidak ada pelanggaran besar yang muncul dari eksploitasi Log4j, Microsoft menilai masalah Log4Shell sebagai situasi “berisiko tinggi” karena sulit bagi organisasi untuk mengetahui aplikasi, perangkat, dan layanan mana yang terpengaruh. CISA juga memperingatkan bahwa penyerang yang telah mengeksploitasi Log4j mungkin menunggu tingkat peringatan turun sebelum menggunakan pijakan baru tetapi tidak terdeteksi dalam target.

Posted By : togel hari ini hongkong