مشاهدات محققان نشان داده که گروهی از هکرهای وابسته به دولت ایران، پس از انتشار اسناد اکسپلویت Log4j، نسبت به پیادهسازی ماژول بکدور مبتنی بر پاورشل موسوم به “قدرت طلسم” اقدام نمودهاند.
محققان شرکت امنیتی Check Point در گزارش خود چنین نوشتند که: “پر واضح است که عامل این حمله در آماده سازی شرایط فرصت چندانی نداشته است و از یک ابزار متن باز برای بهرهجویی استفاده کرده است. علاوه بر این، کل عملیات را با به کارگیری زیرساخت شناخته شده طرح ریزی نموده به همین علت شناسایی آن بسیار سریع و آسان بوده است”.
این شرکت امنیتی اسرائیلی، گروه APT35 موسوم به گربه ملوس را عامل اصلی این عملیات دانسته زیرا زیرساخت استفاده شده در این کمپین، مشابه ابزارهای استفاده شده توسط این گروه در حملات قبلی است.
آسیبپذیری Log4J که با کد CVE-2021-44228 (دارای سطح خطر ۱۰) شناخته میشود، یک آسیبپذیری بسیار خطرناک در کتابخانه محبوب Log4j بوده که توسط اغلب اپلیکیشنهای مشهور، برای لاگ گیری خطاهای برنامه مورد استفاده قرار میگیرد. بهرهجویی موفق از این باگ، میتواند منجر به اجرای کد مخرب از راه دور شود.
سادگی استفاده از اکسپلویت، به همراه فراگیری کتابخانه log4j، سیل عظیمی از اهداف و قربانیان را فراهم کرده و در نهایت منجر به جلب توجه بسیاری از هکرها و عوامل منفور شده است. پس از انتشار اسناد مربوط به این حمله، که در ماه گذشته رخ داد، حملات شدیدی بر روی عموم صورت گرفت.
با وجود اینکه قبلا مایکروسافت مدارکی مبنی بر تلاش گروه APT35 برای دستیابی به اکسپلویت Log4j بدستآورده بود، شواهد اخیر نشان میدهد که این گروه توانسته آسیبپذیری فوق را برای انجام عملیاتهای خود به کار بگیرد. بنابر این مشاهدات، گربه ملوس میتواند یک ویروس مبتنی بر پاورشل را بین قربانیان منتشر کند که با اتصال به سرور فرماندهی و کنترل، مراحل بعدی حمله را آغاز میکند.
ماژول قدرت طلسم توانایی ها و کاربردهای زیادی دارد که جمعآوری مشخصات سیستم قربانی، لیست اپلیکیشنهای نصب شده، اسکرین شات گرفتن، محاسبه فرایندهای در حال اجرا، اجرای دستورات از سرور کنترل و فرماندهی و همچنین پاکسازی ردپای به جا مانده از این عملیاتها را شامل میشود.
این افشا گری در پی هشدار مایکروسافت و NHS رخ داد که در مورد بهرهجویی هکرها از VMware Horizon برای انتشار وب شلهای مخرب به صورت هدفمند بود. گروهی از هکرهای چینی موسوم به DEV-0401 از این طریق برای انتشار باجافزار نوینی با نام NightSky استفاده کردند. در سوابق عملیاتی این گروه منفور میتوان باجافزارهای LockFile، AtomSilo و Rook را مشاهده کرد.
علاوه بر این، گروه غیر چینی دیگری با نام Hafnium، با استفاده از این آسیبپذیری، به زیرساختهای مجازی سازی حمله کرده تا بتواند قدرت هدفگیری و هدف یابی خود را افزایش دهد.
به گفته محققان، با در نظر گرفتن توانایی مهاجمان در بهرهجویی از آسیبپذیری Log4j و قطعه کدهای به کار رفته در بکدور قدرت طلسم، میتوان چنین نتیجه گرفت که هکرها توانایی بالایی در تغییر ابزارهای خود داشته و میتوانند برای هر مرحله از حملات خود، روشهای جدیدی توسعه دهند.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.