{"id":4431,"date":"2023-07-19T11:05:39","date_gmt":"2023-07-19T10:05:39","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4431"},"modified":"2023-08-30T16:31:06","modified_gmt":"2023-08-30T15:31:06","slug":"jak-muddywater-wykorzystalo-luki-log4j-2","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/jak-muddywater-wykorzystalo-luki-log4j-2\/","title":{"rendered":"Jak MuddyWater wykorzysta\u0142o luki Log4j 2?"},"content":{"rendered":"<p>Wed\u0142ug MSTIC, latem 2022 roku ira\u0144ska grupa\u00a0<a href=\"https:\/\/en.wikipedia.org\/wiki\/Advanced_persistent_threat\">APT<\/a>\u00a0MuddyWater wykorzysta\u0142a luki\u00a0<a href=\"https:\/\/logging.apache.org\/log4j\/2.x\/security.html\">Log4j 2<\/a>\u00a0w aplikacjach\u00a0<a href=\"https:\/\/www.sysaid.com\/\">SysAid<\/a>\u00a0przeciwko organizacjom z Izraela. Jest to pierwszy przypadek, gdy aplikacje SysAid pos\u0142u\u017cy\u0142y za pocz\u0105tkowy wektor ataku dla tej konkretnej grupy APT.<\/p>\n<p>&nbsp;<\/p>\n<p>Po uzyskaniu dost\u0119pu za po\u015brednictwem podatnych instancji SysAid Server, MuddyWater ustanawia trwa\u0142o\u015b\u0107 po\u0142\u0105czenia, pos\u0142uguj\u0105c si\u0119 nowo dodanym kontem u\u017cytkownika, b\u0119d\u0105cym lokalnym administratorem, do \u0142\u0105cenia si\u0119 za pomoc\u0105 protoko\u0142u zdalnego pulpitu (RDP). W trakcie tej sesji robi zrzut danych uwierzytelniaj\u0105cych, korzystaj\u0105c z aplikacji open-source Mimikatz. Nast\u0119pnie dzi\u0119ki takiej furtce przemieszcza si\u0119 w obr\u0119bie infrastruktury organizacji b\u0119d\u0105cej celem ataku i instaluje narz\u0119dzia na urz\u0105dzeniach docelowych lub przeprowadza rekonesans. Podczas ca\u0142ego procesu atakuj\u0105cy u\u017cywa r\u00f3\u017cnych metod komunikacji ze swoim serwerem command-and-control.<\/p>\n<p>&nbsp;<\/p>\n<p>Przeprowadzenie manualnego ataku jest mo\u017cliwe dzi\u0119ki zar\u00f3wno niestandardowym, jak i dobrze znanym narz\u0119dziom hakerskim, a tak\u017ce wbudowanym narz\u0119dziom systemu operacyjnego.<\/p>\n<p>&nbsp;<\/p>\n<p>Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Wed\u0142ug MSTIC, latem 2022 roku ira\u0144ska grupa\u00a0APT\u00a0MuddyWater wykorzysta\u0142a luki\u00a0Log4j 2\u00a0w aplikacjach\u00a0SysAid\u00a0przeciwko organizacjom z Izraela. Jest to pierwszy przypadek, gdy aplikacje SysAid pos\u0142u\u017cy\u0142y za pocz\u0105tkowy wektor ataku dla tej konkretnej grupy APT. &nbsp; Po uzyskaniu dost\u0119pu za po\u015brednictwem podatnych instancji SysAid Server, MuddyWater ustanawia trwa\u0142o\u015b\u0107 po\u0142\u0105czenia, pos\u0142uguj\u0105c si\u0119 nowo dodanym kontem u\u017cytkownika, b\u0119d\u0105cym lokalnym administratorem, do [&hellip;]<\/p>\n","protected":false},"author":4,"featured_media":4379,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57],"tags":[79],"class_list":["post-4431","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4431"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431\/revisions"}],"predecessor-version":[{"id":4432,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431\/revisions\/4432"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4379"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4431"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4431"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}