Log4Shell, una de las vulnerabilidades más grandes y potencialmente más devastadoras jamás descubiertas, aún está siendo aprovechada por los actores de amenazas más de medio año después de que se observó por primera vez y se parchó.
Un nuevo informe del Microsoft Threat Intelligence Center (MSTIC) y Microsoft 365 Defender Research Team dijo que los actores de amenazas recientemente descubiertos conocidos como MERCURY (también conocido como MuddyWater) han estado aprovechando Log4Shell contra organizaciones ubicadas en Israel. Se cree que MERCURY es un actor de amenazas patrocinado por el estado de Irán, bajo el mando directo del Ministerio de Inteligencia y Seguridad de Irán.
Los delincuentes usaron la falla en las aplicaciones de SysAid, que es un enfoque relativamente novedoso, dijeron los equipos: “Si bien MERCURY ha usado exploits de Log4j 2 en el pasado, como en aplicaciones de VMware vulnerables, no hemos visto a este actor usando las aplicaciones de SysAid como un vector para el acceso inicial hasta ahora.”
Establecer persistencia, robar datos
El grupo usa Lof4Shell para obtener acceso a los puntos finales de destino y soltar shells web que les dan la capacidad de ejecutar varios comandos. La mayoría de ellos son para reconocimiento, pero uno descarga más herramientas de piratería.
Después de usar Log4Shell para obtener acceso a los puntos finales de destino (se abre en una pestaña nueva)MERCURY establece la persistencia, volca las credenciales y se mueve lateralmente a través de la red de destino, dice Microsoft.
Agrega una nueva cuenta de administrador al sistema comprometido y agrega software apalancado (se abre en una pestaña nueva) en las carpetas de inicio y las claves de registro ASEP, para garantizar la persistencia incluso después del reinicio.
Para mitigar la amenaza de MERCURY, Microsoft recomienda adoptar una serie de consideraciones de seguridad, incluida la verificación para ver si la organización usa SysAid y la aplicación de parches de seguridad. (se abre en una pestaña nueva) y actualizaciones, si están disponibles.
Las organizaciones también deben bloquear el tráfico entrante de las direcciones IP especificadas en la tabla de indicadores de compromiso, que se encuentra aquí (se abre en una pestaña nueva). Se debe revisar toda la actividad de autenticación para la infraestructura de acceso remoto, y los equipos de TI deben centrarse principalmente en las cuentas configuradas con autenticación de un solo factor. Finalmente, la autenticación multifactor (MFA) debe habilitarse siempre que sea posible.