Microsoft: los piratas informáticos iraníes siguen explotando los errores de Log4j contra Israel

Los piratas informáticos continúan explotando la vulnerabilidad Log4j en aplicaciones vulnerables, como lo demuestra el actor de amenazas iraní 'MuddyWater' que se encontró apuntando a organizaciones israelíes que utilizan el software SysAid.

La vulnerabilidad en Log4j ("Log4Shell") se descubrió y parchó en diciembre de 2021  , pero aún afecta a una amplia gama de aplicaciones que utilizan la biblioteca de código abierto. Una de esas aplicaciones es SysAid, un software de mesa de ayuda que lanzó actualizaciones de seguridad para los errores en enero.

MuddyWater, también conocido como 'MERCURY', es un grupo de espionaje que se cree que es operado directamente por el Ministerio de Inteligencia y Seguridad de Irán (MOIS), visto recientemente apuntando a empresas de telecomunicaciones en Medio Oriente y Asia.

Las operaciones del grupo de piratería en particular se alinean con los intereses nacionales de Irán, por lo que implican constantemente a entidades israelíes que se consideran enemigas del estado.

 

Explotación de SysAid para el acceso inicial

La última campaña de piratería de MuddyWater descrita en un informe de Microsoft constituye el primer ejemplo de cómo aprovechar las aplicaciones vulnerables de SysAid para violar las redes corporativas.

MuddyWater anteriormente apuntó a las instancias de VMWare que tenían fallas de Log4j para colocar shells web, pero asumiendo que finalmente se repararon, los actores de amenazas exploraron opciones alternativas.

SysAid es un excelente vector de acceso inicial en ese sentido, ya que aún incorpora Log4j, y numerosas organizaciones lo utilizan como una herramienta de administración de TI, servicio de atención al cliente y solución de servicio de asistencia técnica.

Los piratas informáticos iraníes aprovechan las fallas de Log4Shell para el acceso inicial, ejecutando PowerShell malicioso a través de una solicitud especialmente diseñada enviada a puntos finales vulnerables y soltando shells web.

Después de recopilar la información requerida a través de cmd.exe, los piratas informáticos agregan un usuario, elevan sus privilegios a un administrador local y luego agregan sus herramientas de ataque en las carpetas de inicio para garantizar la persistencia entre reinicios.

A partir de ahí, MuddyWater puede realizar el robo de credenciales mediante Mimikatz, movimiento lateral mediante WMI y RemCom, y enviar datos robados al servidor C2 mediante una versión personalizada de la herramienta de tunelización Ligolo.

sysaid-attack-graph

Comunicaciones personalizadas de proxy inverso

Ligolo es una herramienta de túnel inverso de código abierto que los piratas informáticos utilizan para proteger las comunicaciones entre las puertas traseras y la infraestructura C2.

La versión modificada empleada por MERCURY en la última campaña viene en forma de un ejecutable llamado "vpnui.exe".

Si bien el informe de Microsoft no entra en los detalles de la herramienta en particular, sabemos por un informe de marzo de 2022 de Security Joes que los piratas informáticos agregaron funciones útiles como controles de ejecución y parámetros de línea de comandos.

Security Joes había atribuido vagamente la apariencia del Ligolo personalizado a MuddyWater, y el informe reciente de Microsoft confirma aún más esta atribución.

El informe enumera más detalles sobre las oportunidades de detección de MuddyWater y las consultas de búsqueda en su última sección, así que asegúrese de verificarlo si está dentro del alcance de orientación del grupo.

 

Fuente: Bleepingcomputer.

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies