SysAid یک شرکت مدیریت خدمات فناوری اطلاعات است که در اسرائیل تأسیس شده است. شرکت راه اندازی شد وصله های Log4j برای محصولات ابری و داخلی خود در ژانویه، اندکی پس از آن که بنیاد نرمافزار آپاچی باگهای موجود در کتابخانه لاگ برنامههای Log4J جاوا را در 9 دسامبر فاش کرد.
در حالی که به نظر میرسد این تهدید منحصراً سازمانهای مستقر در اسرائیل را هدف قرار میدهد، مایکروسافت از همه سازمانها میخواهد که بررسی کنند آیا SysAid در شبکه وجود دارد یا خیر و وصلههای شرکت را برای نقصهای Log4j اعمال کنند.
این گروه در حال رها کردن و استفاده از پوسته های وب برای اجرای دستورات مربوط به شناسایی، حرکت جانبی و پایداری است. همچنین از ابزار تست قلم منبع باز Mimikatz برای تخلیه و سرقت اطلاعات اعتباری و همچنین تخلیه اعتبار در سرورهای SQL برای سرقت حساب های خدمات با امتیاز بالا استفاده می کند.
«در هفتههای اخیر، مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) و تیم تحقیقاتی Microsoft 365 Defender شناسایی کردهاند که عامل تهدید مستقر در ایران مرکوری در حال بهرهبرداری از آسیب پذیری های Log4j 2 که در SysAid درخواست علیه سازمان هایی که همگی در اسرائیل واقع شده اند.» مایکروسافت هشدار داد.
مایکروسافت بین 23 تا 25 ژوئیه گروه را با استفاده از “به احتمال زیاد” سوء استفاده های Log4Shell در برابر نمونه های سرور SysAid که در معرض اینترنت قرار داشتند، مشاهده کرد. این کمپین در پس زمینه آمریکا، ایران و اسرائیل رخ می دهد مذاکره برای توافق هسته ای جدید.
هدف قرار دادن برنامههای SysAid یک رویکرد جدید برای Mercury است که در گذشته از نقصهای اجرای کد از راه دور Log4Shell در برنامههای VMware برای انجام حملات استفاده میکرد.
پیش از این، فرماندهی سایبری ایالات متحده دریافته بود که MOIS از آسیب پذیری های شناخته شده برای انجام حملات استفاده می کند. در طول سال 2021، عوامل تهدید کننده ایرانی از نقصهایی در ابزار Fortinet و باگهای Microsoft Exchange Server ProxyShell برای دسترسی اولیه به اهداف استفاده میکردند.
هیئت بررسی ایمنی سایبری ایالات متحده (CSRB)، در ماه جولای، Log4Shell را یک آسیبپذیری «بومی» دانست که انتظار دارد حداقل تا سال 2032 روی سیستمها تأثیر بگذارد. بخشی از مشکل Log4Shell این بود که مؤلفه Log4j در بسیاری از برنامههای کاربردی مختلف استفاده میشود و کشف کدام یک از آنهاست. از آنها تحت تأثیر قرار می گیرند یک چالش باقی می ماند. آژانس امنیت سایبری و امنیت زیرساخت (CISA) تخمین زده است که صدها میلیون دستگاه متصل به اینترنت در برابر Log4Shell آسیب پذیر هستند.
مایکروسافت هشدار داده است که یک عامل تهدید کننده دولتی ایرانی که مرکوری نامیده می شود از نقص های Log4Shell در برنامه های فروشنده فناوری اطلاعات استفاده می کند. SysAid علیه سازمان های مستقر در اسرائیل.
مایکروسافت توضیح داد: «بعد از دسترسی، MERCURY پایداری ایجاد میکند، اعتبارنامهها را تخلیه میکند، و به صورت جانبی در سازمان مورد نظر با استفاده از ابزارهای هک سفارشی و شناختهشده و همچنین ابزارهای داخلی سیستمعامل برای حمله دست روی صفحهکلید خود حرکت میکند». .
تیم ردیابی دولت ملی مایکروسافت، مرکز اطلاعات تهدیدات مایکروسافت (MSTIC)، با “اطمینان بالا” ارزیابی کرده است که این کمپین به وزارت اطلاعات و امنیت ایران (MOIS) وابسته است. فرماندهی سایبری ایالات متحده این گروه را به عنوان MuddyWater ردیابی می کند که ارزیابی می کند “عنصر تابع” MOIS است.
مایکروسافت توصیه میکند که تیمهای امنیتی تمام فعالیتهای احراز هویت را برای زیرساختهای دسترسی از راه دور بررسی کنند و روی حسابهای پیکربندی شدهای تمرکز کنند که با احراز هویت چند عاملی (MFA) محافظت نشدهاند. همچنین توصیه می کند که سازمان ها MFA را فعال کنند.
منبع: https://www.zdnet.com/article/microsoft-iranian-attackers-using-log4shell-to-attack-organizations-in-israel/#ftag=RSSbaffb68