Microsoft scopre attacchi che sfruttano i bug Log4j

Microsoft scopre attacchi che sfruttano i bug Log4j

Cybercriminali iraniani hanno sfruttato le vulnerabilità di Log4j per eseguire attacchi di spionaggio contro aziende israeliane che usano SysAid.
Microsoft scopre attacchi che sfruttano i bug Log4j
Cybercriminali iraniani hanno sfruttato le vulnerabilità di Log4j per eseguire attacchi di spionaggio contro aziende israeliane che usano SysAid.

Le famose vulnerabilità Log4Shell della libreria Log4j sono stati risolte da tempo, ma non tutte le aziende hanno aggiornato i software che la utilizzano. Microsoft ha scoperto attacchi effettuati dai cybercriminali iraniani del gruppo Mercury contro organizzazioni israeliane sfruttando SysAid, un tool di help desk. Defender Antivirus, Defender for Endpoint e altre soluzioni di sicurezza rilevano e bloccano questo tipo di minaccia informatica.

Tecniche, tattiche e procedure di Mercury

SysAid ha rilasciato la patch a gennaio, ma alcune aziende israeliane utilizzano ancora vecchie versioni vulnerabili. Il gruppo Mercury ha sfruttato a fine luglio due vulnerabilità di Log4j come vettore di accesso iniziale alle istanze di SysAid Server. I cybercriminali hanno quindi installato web shell e avviato la fase di “discovery” della rete, ovvero la raccolta di varie informazioni. Dopo aver aggiunto un nuovo utente e elevato i suoi privilegi ad amministratore hanno effettuato il dumping delle credenziali con il noto tool Mimikatz.

L’attacco è continuato con il classico “movimento laterale”, ovvero l’accesso agli altri computer collegati alla rete locale, dai quali sono stati rubati altri dati sensibili, tra cui le credenziali di SQL Server e controller di dominio. Per comunicare con il server C2 (command and control) sono stati usati diversi metodi: PowerShell, una versione custom (vpnui.exe) del tool di tunneling Ligolo e un software di controllo remoto (eHorus).

Microsoft consiglia ovviamente di aggiornare SysAid, bloccare il traffico in arrivo dagli indirizzi IP specificati e attivare l’autenticazione in due fattori.

Fonte: Microsoft
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il
28 ago 2022
Link copiato negli appunti