Jak MuddyWater wykorzystało luki Log4j 2?

Według MSTIC, latem 2022 roku irańska grupa APT MuddyWater wykorzystała luki Log4j 2 w aplikacjach SysAid przeciwko organizacjom z Izraela. Jest to pierwszy przypadek, gdy aplikacje SysAid posłużyły za początkowy wektor ataku dla tej konkretnej grupy APT.

Po uzyskaniu dostępu za pośrednictwem podatnych instancji SysAid Server, MuddyWater ustanawia trwałość połączenia, posługując się nowo dodanym kontem użytkownika, będącym lokalnym administratorem, do łącenia się za pomocą protokołu zdalnego pulpitu (RDP). W trakcie tej sesji robi zrzut danych uwierzytelniających, korzystając z aplikacji open-source Mimikatz. Następnie dzięki takiej furtce przemieszcza się w obrębie infrastruktury organizacji będącej celem ataku i instaluje narzędzia na urządzeniach docelowych lub przeprowadza rekonesans. Podczas całego procesu atakujący używa różnych metod komunikacji ze swoim serwerem command-and-control.

Przeprowadzenie manualnego ataku jest możliwe dzięki zarówno niestandardowym, jak i dobrze znanym narzędziom hakerskim, a także wbudowanym narzędziom systemu operacyjnego.

Nasze produkty wykrywają wyżej opisane zagrożenia, a w razie potrzeby wysyłają odpowiednie komunikaty o naruszeniu zabezpieczeń. Zakup któregokolwiek z naszych pakietów nie tylko podnosi bezpieczeństwo firmy, lecz także daje dostęp do pełnej wersji tego oraz innych specjalistycznych artykułów z tematyki cyberbezpieczeństwa, zamieszczonych w konsoli XDR.