Le famose vulnerabilità Log4Shell della libreria Log4j sono stati risolte da tempo, ma non tutte le aziende hanno aggiornato i software che la utilizzano. Microsoft ha scoperto attacchi effettuati dai cybercriminali iraniani del gruppo Mercury contro organizzazioni israeliane sfruttando SysAid, un tool di help desk. Defender Antivirus, Defender for Endpoint e altre soluzioni di sicurezza rilevano e bloccano questo tipo di minaccia informatica.
Tecniche, tattiche e procedure di Mercury
SysAid ha rilasciato la patch a gennaio, ma alcune aziende israeliane utilizzano ancora vecchie versioni vulnerabili. Il gruppo Mercury ha sfruttato a fine luglio due vulnerabilità di Log4j come vettore di accesso iniziale alle istanze di SysAid Server. I cybercriminali hanno quindi installato web shell e avviato la fase di “discovery” della rete, ovvero la raccolta di varie informazioni. Dopo aver aggiunto un nuovo utente e elevato i suoi privilegi ad amministratore hanno effettuato il dumping delle credenziali con il noto tool Mimikatz.
L’attacco è continuato con il classico “movimento laterale”, ovvero l’accesso agli altri computer collegati alla rete locale, dai quali sono stati rubati altri dati sensibili, tra cui le credenziali di SQL Server e controller di dominio. Per comunicare con il server C2 (command and control) sono stati usati diversi metodi: PowerShell, una versione custom (vpnui.exe
) del tool di tunneling Ligolo e un software di controllo remoto (eHorus).
Microsoft consiglia ovviamente di aggiornare SysAid, bloccare il traffico in arrivo dagli indirizzi IP specificati e attivare l’autenticazione in due fattori.