Per eseguire attacchi di spionaggio contro aziende israeliane che usano SysAid, alcuni Cybercriminali iraniani hanno sfruttato le vulnerabilità di Log4j.

Sono state risolte da tempo le famose vulnerabilità Log4Shell della libreria Log4j, ma non tutte le aziende hanno aggiornato i software che la utilizzano. Microsoft ha scoperto attacchi effettuati dai cybercriminali iraniani del gruppo Mercury contro organizzazioni israeliane sfruttando SysAid, un tool di help desk.

SysAid ha rilasciato la patch a gennaio, ma alcune aziende israeliane utilizzano ancora vecchie versioni vulnerabili. A fine luglio Il gruppo Mercury ha sfruttato due vulnerabilità di Log4j come vettore di accesso iniziale alle istanze di SysAid Server. I cybercriminali hanno quindi installato web shell e avviato la fase di raccolta di varie informazioni. Dopo aver aggiunto un nuovo utente ed elevato i suoi privilegi ad amministratore hanno effettuato il dumping delle credenziali.

L’attacco è continuato con il classico accesso agli altri computer collegati alla rete locale, dai quali sono stati rubati altri dati sensibili, tra cui le credenziali di SQL Server e controller di dominio. Per comunicare con il server C2 (command and control) sono stati usati diversi metodi: PowerShell, una versione custom del tool di tunneling Ligolo e un software di controllo remoto (eHorus).

Ovviamente Microsoft consiglia di aggiornare SysAid, bloccare il traffico in arrivo dagli indirizzi IP specificati e attivare l’autenticazione in due fattori.

Oltre la metà degli attacchi che fanno leva sulla vulnerabilità della libreria Log4j impiega TOR per nascondere il paese di provenienza. È quanto emerge da una nuova ricerca sul tema condotta dai ricercatori di Bitdefender.

Fonte: https://www.punto-informatico.it/microsoft-scopre-attacchi-sfruttano-bug-log4j/