Log4Shell, eine der größten und potenziell verheerendsten Sicherheitslücken, die jemals entdeckt wurde, wird auch mehr als sechs Monate, nachdem sie zum ersten Mal bemerkt und gepatcht wurde, weiterhin von Angreifern ausgenutzt.
Ein neuer Bericht des Microsoft Threat Intelligence Center (MSTIC) und des Microsoft 365 Defender-Forschungsteams hat festgestellt, dass kürzlich entdeckte Bedrohungsakteure namens MERCURY (auch bekannt als MuddyWater) Log4Shell gegen Organisationen in Israel einsetzen. MERCURY ist Berichten zufolge ein vom iranischen Staat unterstützter Bedrohungsakteur unter direktem Kommando des iranischen Geheimdienst- und Sicherheitsministeriums.
Kriminelle haben die Schwachstelle in SysAid-Anwendungen ausgenutzt, was ein relativ neuer Ansatz ist, sagten die Teams: „Während MERCURY in der Vergangenheit Log4j 2-Exploits verwendet hat, beispielsweise in anfälligen VMware-Anwendungen, haben wir nicht gesehen, dass dieser Akteur SysAid-Anwendungen als Sicherheitslücke nutzte.“ Ausgangsform". Zugriffsvektor bisher.
Persistenz einstellen, Daten stehlen
Die Gruppe verwendet Lof4Shell, um auf Zielterminals zuzugreifen, und entfernt Web-Shells, die es ihnen ermöglichen, mehrere Befehle auszuführen. Die meisten von ihnen dienen der Aufklärung, aber es werden mehr Hacking-Tools heruntergeladen.
Nach der Verwendung von Log4Shell für den Zugriff auf Zielendpunkte (wird in einem neuen Tab geöffnet) richtet MERCURY Persistenz ein, löscht Anmeldeinformationen und bewegt sich seitlich durch das Zielnetzwerk, erklärt Microsoft.
Fügt dem kompromittierten System ein neues Administratorkonto hinzu und fügt den ASEP-Startordnern und Registrierungsschlüsseln genutzte Software (wird in einem neuen Tab geöffnet) hinzu, um die Persistenz auch nach dem Neustart sicherzustellen.
Um die MERCURY-Bedrohung einzudämmen, empfiehlt Microsoft, eine Reihe von Sicherheitsüberlegungen anzunehmen, einschließlich der Überprüfung, ob Ihre Organisation SysAid verwendet, und der Anwendung von Sicherheitspatches (wird in einer neuen Registerkarte geöffnet) und ggf. aktueller Updates.
Organisationen sollten auch eingehenden Datenverkehr von IP-Adressen blockieren, die in der Tabelle „Indikatoren für Kompromittierung“ angegeben sind, die hier verfügbar ist (wird in einem neuen Tab geöffnet). Alle Authentifizierungsaktivitäten für die Remote-Zugriffsinfrastruktur sollten überprüft werden, und IT-Teams sollten sich hauptsächlich auf Konten konzentrieren, die mit Single-Factor-Authentifizierung konfiguriert sind. Schließlich sollte die Multi-Faktor-Authentifizierung (MFA) nach Möglichkeit aktiviert werden.