مایکروسافت: مهاجمان ایرانی از Log4Shell برای هدف قرار دادن سازمان‌ها در اسرائیل استفاده می‌کنند


getty-hacker-hands-on-a-keyboard.jpg

گتی ایماژ

مایکروسافت هشدار داده است که یک عامل تهدید کننده دولتی ایرانی که مرکوری نامیده می شود از نقص های Log4Shell در برنامه های فروشنده فناوری اطلاعات استفاده می کند. SysAid علیه سازمان های مستقر در اسرائیل.

تیم ردیابی دولت ملی مایکروسافت، مرکز اطلاعات تهدیدات مایکروسافت (MSTIC)، با “اطمینان بالا” ارزیابی کرده است که این کمپین به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است. فرماندهی سایبری ایالات متحده این گروه را به عنوان MuddyWater ردیابی می کند که ارزیابی می کند “عنصر تابع” MOIS است.

هدف قرار دادن برنامه‌های SysAid یک رویکرد جدید برای Mercury است که در گذشته از نقص‌های اجرای کد از راه دور Log4Shell در برنامه‌های VMware برای انجام حملات استفاده می‌کرد.

SysAid یک شرکت مدیریت خدمات فناوری اطلاعات است که در اسرائیل تأسیس شده است. شرکت راه اندازی شد وصله های Log4j برای محصولات ابری و داخلی خود در ژانویه، اندکی پس از آن که بنیاد نرم‌افزار آپاچی باگ‌های موجود در کتابخانه لاگ برنامه‌های Log4J جاوا را در 9 دسامبر فاش کرد.

«در هفته‌های اخیر، مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) و تیم تحقیقاتی Microsoft 365 Defender شناسایی کرده‌اند که عامل تهدید مستقر در ایران مرکوری در حال بهره‌برداری از آسیب پذیری های Log4j 2 که در SysAid درخواست علیه سازمان هایی که همگی در اسرائیل واقع شده اند.» مایکروسافت هشدار داد.

مایکروسافت بین 23 تا 25 ژوئیه گروه را با استفاده از “به احتمال زیاد” سوء استفاده های Log4Shell در برابر نمونه های سرور SysAid که در معرض اینترنت قرار داشتند، مشاهده کرد. این کمپین در پس زمینه آمریکا، ایران و اسرائیل رخ می دهد مذاکره برای توافق هسته ای جدید.

مایکروسافت توضیح داد: «بعد از دسترسی، MERCURY پایداری ایجاد می‌کند، اعتبارنامه‌ها را تخلیه می‌کند، و به صورت جانبی در سازمان مورد نظر با استفاده از ابزارهای هک سفارشی و شناخته‌شده و همچنین ابزارهای داخلی سیستم‌عامل برای حمله دست روی صفحه‌کلید خود حرکت می‌کند». .

این گروه در حال رها کردن و استفاده از پوسته های وب برای اجرای دستورات مربوط به شناسایی، حرکت جانبی و پایداری است. همچنین از ابزار تست قلم منبع باز Mimikatz برای تخلیه و سرقت اطلاعات اعتباری و همچنین تخلیه اعتبار در سرورهای SQL برای سرقت حساب های خدمات با امتیاز بالا استفاده می کند.

در حالی که به نظر می‌رسد این تهدید منحصراً سازمان‌های مستقر در اسرائیل را هدف قرار می‌دهد، مایکروسافت از همه سازمان‌ها می‌خواهد که بررسی کنند آیا SysAid در شبکه وجود دارد یا خیر و وصله‌های شرکت را برای نقص‌های Log4j اعمال کنند.

پیش از این، فرماندهی سایبری ایالات متحده دریافته بود که MOIS از آسیب پذیری های شناخته شده برای انجام حملات استفاده می کند. در طول سال 2021، عوامل تهدید کننده ایرانی از نقص‌هایی در ابزار Fortinet و باگ‌های Microsoft Exchange Server ProxyShell برای دسترسی اولیه به اهداف استفاده می‌کردند.

هیئت بررسی ایمنی سایبری ایالات متحده (CSRB)، در ماه جولای، Log4Shell را یک آسیب‌پذیری «بومی» دانست که انتظار دارد حداقل تا سال 2032 روی سیستم‌ها تأثیر بگذارد. بخشی از مشکل Log4Shell این بود که مؤلفه Log4j در بسیاری از برنامه‌های کاربردی مختلف استفاده می‌شود و کشف کدام یک از آنهاست. از آنها تحت تأثیر قرار می گیرند یک چالش باقی می ماند. آژانس امنیت سایبری و امنیت زیرساخت (CISA) تخمین زده است که صدها میلیون دستگاه متصل به اینترنت در برابر Log4Shell آسیب پذیر هستند.

مایکروسافت توصیه می‌کند که تیم‌های امنیتی تمام فعالیت‌های احراز هویت را برای زیرساخت‌های دسترسی از راه دور بررسی کنند و روی حساب‌های پیکربندی شده‌ای تمرکز کنند که با احراز هویت چند عاملی (MFA) محافظت نشده‌اند. همچنین توصیه می کند که سازمان ها MFA را فعال کنند.


منبع: https://www.zdnet.com/article/microsoft-iranian-attackers-using-log4shell-to-attack-organizations-in-israel/#ftag=RSSbaffb68