SysAid یک شرکت مدیریت خدمات فناوری اطلاعات است که در اسرائیل تأسیس شده است. شرکت راه اندازی شد وصله های Log4j برای محصولات ابری و داخلی خود در ژانویه، اندکی پس از آن که بنیاد نرمافزار آپاچی باگهای موجود در کتابخانه لاگ برنامههای Log4J جاوا را در 9 دسامبر فاش کرد.
پیش از این، فرماندهی سایبری ایالات متحده دریافته بود که MOIS از آسیب پذیری های شناخته شده برای انجام حملات استفاده می کند. در طول سال 2021، عوامل تهدید کننده ایرانی از نقصهایی در ابزار Fortinet و باگهای Microsoft Exchange Server ProxyShell برای دسترسی اولیه به اهداف استفاده میکردند.
هیئت بررسی ایمنی سایبری ایالات متحده (CSRB)، در ماه جولای، Log4Shell را یک آسیبپذیری «بومی» دانست که انتظار دارد حداقل تا سال 2032 روی سیستمها تأثیر بگذارد. بخشی از مشکل Log4Shell این بود که مؤلفه Log4j در بسیاری از برنامههای کاربردی مختلف استفاده میشود و کشف کدام یک از آنهاست. از آنها تحت تأثیر قرار می گیرند یک چالش باقی می ماند. آژانس امنیت سایبری و امنیت زیرساخت (CISA) تخمین زده است که صدها میلیون دستگاه متصل به اینترنت در برابر Log4Shell آسیب پذیر هستند.
مایکروسافت هشدار داده است که یک عامل تهدید کننده دولتی ایرانی که مرکوری نامیده می شود از نقص های Log4Shell در برنامه های فروشنده فناوری اطلاعات استفاده می کند. SysAid علیه سازمان های مستقر در اسرائیل.
مایکروسافت توضیح داد: «بعد از دسترسی، MERCURY پایداری ایجاد میکند، اعتبارنامهها را تخلیه میکند، و به صورت جانبی در سازمان مورد نظر با استفاده از ابزارهای هک سفارشی و شناختهشده و همچنین ابزارهای داخلی سیستمعامل برای حمله دست روی صفحهکلید خود حرکت میکند». .
تیم ردیابی دولت ملی مایکروسافت، مرکز اطلاعات تهدیدات مایکروسافت (MSTIC)، با “اطمینان بالا” ارزیابی کرده است که این کمپین به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است. فرماندهی سایبری ایالات متحده این گروه را به عنوان MuddyWater ردیابی می کند که ارزیابی می کند “عنصر تابع” MOIS است.
مایکروسافت توصیه میکند که تیمهای امنیتی تمام فعالیتهای احراز هویت را برای زیرساختهای دسترسی از راه دور بررسی کنند و روی حسابهای پیکربندی شدهای تمرکز کنند که با احراز هویت چند عاملی (MFA) محافظت نشدهاند. همچنین توصیه می کند که سازمان ها MFA را فعال کنند.
منبع: https://www.zdnet.com/article/microsoft-iranian-attackers-using-log4shell-to-attack-organizations-in-israel/#ftag=RSSbaffb68