مشاهدات محققان نشان داده که گروهی از هکرهای وابسته به دولت ایران، پس از انتشار اسناد اکسپلویت Log4j، نسبت به پیاده‌سازی ماژول بک‌دور مبتنی بر پاورشل موسوم به “قدرت طلسم” اقدام نموده‌اند.

محققان شرکت امنیتی Check Point در گزارش خود چنین نوشتند که: “پر واضح است که عامل این حمله در آماده سازی شرایط فرصت چندانی نداشته است و از یک ابزار متن باز برای بهره‌جویی استفاده کرده است. علاوه بر این، کل عملیات را با به کارگیری زیرساخت شناخته شده طرح ریزی نموده به همین علت شناسایی آن بسیار سریع و آسان بوده است”.

این شرکت امنیتی اسرائیلی، گروه APT35 موسوم به گربه ملوس را عامل اصلی این عملیات دانسته زیرا زیرساخت استفاده شده در این کمپین، مشابه ابزارهای استفاده شده توسط این گروه در حملات قبلی است.

آسیب‌پذیری Log4J که با کد CVE-2021-44228 (دارای سطح خطر ۱۰) شناخته می‌شود، یک آسیب‌پذیری بسیار خطرناک در کتابخانه محبوب Log4j بوده که توسط اغلب اپلیکیشن‌های مشهور، برای لاگ گیری خطاهای برنامه مورد استفاده قرار می‌گیرد. بهره‌جویی موفق از این باگ، می‌تواند منجر به اجرای کد مخرب از راه دور شود.

سادگی استفاده از اکسپلویت، به همراه فراگیری کتابخانه log4j، سیل عظیمی از اهداف و قربانیان را فراهم کرده و در نهایت منجر به جلب توجه بسیاری از هکرها و عوامل منفور شده است. پس از انتشار اسناد مربوط به این حمله، که در ماه گذشته رخ داد، حملات شدیدی بر روی عموم صورت گرفت.

با وجود اینکه قبلا مایکروسافت مدارکی مبنی بر تلاش گروه APT35 برای دستیابی به اکسپلویت Log4j بدست‌آورده بود، شواهد اخیر نشان می‌دهد که این گروه توانسته آسیب‌‎پذیری فوق را برای انجام عملیات‌های خود به کار بگیرد. بنابر این مشاهدات، گربه ملوس می‌تواند یک ویروس مبتنی بر پاورشل را بین قربانیان منتشر کند که با اتصال به سرور فرماندهی و کنترل، مراحل بعدی حمله را آغاز می‌کند.

ماژول قدرت طلسم توانایی ها و کاربردهای زیادی دارد که جمع‌آوری مشخصات سیستم قربانی، لیست اپلیکیشن‌های نصب شده، اسکرین شات گرفتن، محاسبه فرایندهای در حال اجرا، اجرای دستورات از سرور کنترل و فرماندهی و همچنین پاک‌سازی ردپای به جا مانده از این عملیات‌ها را شامل می‌شود.

این افشا گری  در پی هشدار مایکروسافت و NHS رخ داد که در مورد بهره‌جویی هکرها از VMware Horizon برای انتشار وب شل‌های مخرب به صورت هدفمند بود. گروهی از هکرهای چینی موسوم به DEV-0401 از این طریق برای انتشار باج‌افزار نوینی با نام NightSky استفاده کردند. در سوابق عملیاتی این گروه منفور می‌توان باج‌افزارهای LockFile، AtomSilo و Rook را مشاهده کرد.

علاوه بر این، گروه غیر چینی دیگری با نام Hafnium، با استفاده از این آسیب‌پذیری، به زیرساخت‌های مجازی سازی حمله کرده تا بتواند قدرت هدف‌گیری و هدف یابی خود را افزایش دهد.

به گفته محققان، با در نظر گرفتن توانایی مهاجمان در بهره‌جویی از آسیب‌پذیری Log4j و قطعه کدهای به کار رفته در بک‌دور قدرت طلسم، می‌توان چنین نتیجه گرفت که هکرها توانایی بالایی در تغییر ابزارهای خود داشته و می‌توانند برای هر مرحله از حملات خود، روشهای جدیدی توسعه دهند.

نظرات

نظر (به‌وسیله فیس‌بوک)