{"id":4431,"date":"2023-07-19T11:05:39","date_gmt":"2023-07-19T10:05:39","guid":{"rendered":"https:\/\/soc.dag.pl\/?p=4431"},"modified":"2023-08-30T16:31:06","modified_gmt":"2023-08-30T15:31:06","slug":"jak-muddywater-wykorzystalo-luki-log4j-2","status":"publish","type":"post","link":"https:\/\/soc.dag.pl\/jak-muddywater-wykorzystalo-luki-log4j-2\/","title":{"rendered":"Jak MuddyWater wykorzysta\u0142o luki Log4j 2?"},"content":{"rendered":"

Wed\u0142ug MSTIC, latem 2022 roku ira\u0144ska grupa\u00a0APT<\/a>\u00a0MuddyWater wykorzysta\u0142a luki\u00a0Log4j 2<\/a>\u00a0w aplikacjach\u00a0SysAid<\/a>\u00a0przeciwko organizacjom z Izraela. Jest to pierwszy przypadek, gdy aplikacje SysAid pos\u0142u\u017cy\u0142y za pocz\u0105tkowy wektor ataku dla tej konkretnej grupy APT.<\/p>\n

 <\/p>\n

Po uzyskaniu dost\u0119pu za po\u015brednictwem podatnych instancji SysAid Server, MuddyWater ustanawia trwa\u0142o\u015b\u0107 po\u0142\u0105czenia, pos\u0142uguj\u0105c si\u0119 nowo dodanym kontem u\u017cytkownika, b\u0119d\u0105cym lokalnym administratorem, do \u0142\u0105cenia si\u0119 za pomoc\u0105 protoko\u0142u zdalnego pulpitu (RDP). W trakcie tej sesji robi zrzut danych uwierzytelniaj\u0105cych, korzystaj\u0105c z aplikacji open-source Mimikatz. Nast\u0119pnie dzi\u0119ki takiej furtce przemieszcza si\u0119 w obr\u0119bie infrastruktury organizacji b\u0119d\u0105cej celem ataku i instaluje narz\u0119dzia na urz\u0105dzeniach docelowych lub przeprowadza rekonesans. Podczas ca\u0142ego procesu atakuj\u0105cy u\u017cywa r\u00f3\u017cnych metod komunikacji ze swoim serwerem command-and-control.<\/p>\n

 <\/p>\n

Przeprowadzenie manualnego ataku jest mo\u017cliwe dzi\u0119ki zar\u00f3wno niestandardowym, jak i dobrze znanym narz\u0119dziom hakerskim, a tak\u017ce wbudowanym narz\u0119dziom systemu operacyjnego.<\/p>\n

 <\/p>\n

Nasze produkty wykrywaj\u0105 wy\u017cej opisane zagro\u017cenia, a w razie potrzeby wysy\u0142aj\u0105 odpowiednie komunikaty o naruszeniu zabezpiecze\u0144. Zakup kt\u00f3regokolwiek z naszych pakiet\u00f3w nie tylko podnosi bezpiecze\u0144stwo firmy, lecz tak\u017ce daje dost\u0119p do pe\u0142nej wersji tego oraz innych specjalistycznych artyku\u0142\u00f3w z tematyki cyberbezpiecze\u0144stwa, zamieszczonych w konsoli XDR.<\/p>\n","protected":false},"excerpt":{"rendered":"

Wed\u0142ug MSTIC, latem 2022 roku ira\u0144ska grupa\u00a0APT\u00a0MuddyWater wykorzysta\u0142a luki\u00a0Log4j 2\u00a0w aplikacjach\u00a0SysAid\u00a0przeciwko organizacjom z Izraela. Jest to pierwszy przypadek, gdy aplikacje SysAid pos\u0142u\u017cy\u0142y za pocz\u0105tkowy wektor ataku dla tej konkretnej grupy APT.   Po uzyskaniu dost\u0119pu za po\u015brednictwem podatnych instancji SysAid Server, MuddyWater ustanawia trwa\u0142o\u015b\u0107 po\u0142\u0105czenia, pos\u0142uguj\u0105c si\u0119 nowo dodanym kontem u\u017cytkownika, b\u0119d\u0105cym lokalnym administratorem, do […]<\/p>\n","protected":false},"author":4,"featured_media":4379,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[57],"tags":[79],"class_list":["post-4431","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security","tag-cyberochrona"],"_links":{"self":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431"}],"collection":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/users\/4"}],"replies":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/comments?post=4431"}],"version-history":[{"count":1,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431\/revisions"}],"predecessor-version":[{"id":4432,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/posts\/4431\/revisions\/4432"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media\/4379"}],"wp:attachment":[{"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/media?parent=4431"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/categories?post=4431"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/soc.dag.pl\/wp-json\/wp\/v2\/tags?post=4431"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}