注意してください! Log4jを使用して新しいバックドアをインストールする脅威アクター

Log4jは、新しいコロナウイルスのように、2022年にはどこにも行かないようです。猫は袋から出されており、止まる気配もなく野生で走っています。セキュリティ会社のCheckPointによる最近の分析によると、APT35というハンドルの下で知られている国家支援の脅威アクターがLog4jを使用して、PowerShellを使用する新しい悪意のあるツールキットを配布しています。

同じ脅威アクターは、マイクロソフトのセキュリティ研究者によってPhosphorousと名付けられました。ハッカーは、国の支援を受けたイランのグループと見なされます。 マイクロソフトは先週、Log4jの脆弱なシステムをまだ公開しているネットワークを探して、すでに大規模な調査を行っている複数の国家支援の脅威アクターについて警告しました。

APT35は既知のツールを使用します

チェック・ポイントが最新のAPT35事件について行った調査によると、ハッカーは自分たちの仕事が特に得意ではなかったことがわかりました。研究論文では、削除される前に、以前はGitHubで利用可能だった基本的なオープンソースのツールを使用して、最初の攻撃ベクトルを「急いで」と呼んでいます。

APT35がアクセスを取得すると、グループは、侵害されたネットワークでの永続性を実現するために、PowerShellに基づくモジュラーバックドアをインストールします。同じPowerShellツールを使用してC2サーバーと通信し、悪意のある追加のモジュールをダウンロードしてコマンドを実行します。

APT35で使用されるモジュラーバックドア

PowerShellモジュールは、侵害されたシステムに関する情報を取得し、それを制御サーバーに送り返します。サーバーは、取得した応答に基づいて、攻撃をさらに進め、C#またはPowerShellで追加のモジュールを実行することを決定する場合があります。これらの追加モジュールは、情報の盗用やネットワーク上の既存のデータの暗号化など、さまざまなタスクを実行します。

機能はこれだけではありません。一部のモジュールではスクリーンショットを取得でき、一部のモジュールではアクティブなバックグラウンドプロセスを監視し、最後に、スキャンによって残ったトレースをクリーンアップするモジュールや、他のモジュールでプロセスを強制終了します。

最初の攻撃を超えて展開されたツールキットのこの一見豊富な機能にもかかわらず、研究者はAPT35をあまり高く考えていませんでした。この理由は、ハッカーグループが既知の公開ツールを使用して検出を容易にし、既存のC2サーバーインフラストラクチャに依存して、セキュリティの監視をさらに容易にし、警報ベルを鳴らしたためです。

2022年を通じて、Log4jの脆弱性を何らかの形で悪用する、より新しく、ますます創造的な攻撃について耳にすることはかなり確実です。うまくいけば、企業とソフトウェアおよびプラットフォームの開発者は、少なくともペースを維持するために、協力して迅速に作業します。ハッカーに遅れをとらないでください。