微软：伊朗黑客仍在利用Log4j漏洞攻击以色列-VPS资讯_海外云服务器资讯_海外服务器资讯

黑客继续在易受攻击的应用程序中利用 Log4j 漏洞，正如伊朗“MuddyWater”威胁行为者发现的那样，该攻击者使用 SysAid 软件针对以色列组织。

Log4j（“Log4Shell”）中的漏洞于2021 年 12 月被发现并修补，但仍然困扰着使用开源库的广泛应用程序。其中一个应用程序是 SysAid，这是一个帮助台软件，在 1 月份发布了漏洞的安全更新。

MuddyWater，又名“MERCURY”，是一个据信由伊朗情报和安全部 (MOIS)直接运营的间谍组织，最近发现其目标是中东和亚洲的电信公司。

特定黑客组织的行动符合伊朗的国家利益，因此他们不断牵连被视为国家敌人的以色列实体。

利用 SysAid 进行初始访问
昨天微软报告中概述的最新 MuddyWater 黑客活动是利用易受攻击的 SysAid 应用程序破坏公司网络的第一个例子。

MuddyWater 以前针对带有 Log4j 缺陷的 VMWare 实例来丢弃 web shell，但假设这些最终得到修补，威胁参与者探索了替代选项。

从这个意义上说，SysAid 是一个极好的初始访问载体，因为它仍然包含 Log4j，许多组织将其用作 IT 管理工具、服务台和帮助台解决方案。

伊朗黑客利用 Log4Shell 漏洞进行初始访问，通过发送到易受攻击的端点的特制请求运行恶意 PowerShell 并丢弃 Web shell。

在通过 cmd.exe 收集到所需信息后，黑客添加了一个用户，将其权限提升为本地管理员，然后将他们的攻击工具添加到启动文件夹中，以确保重新启动之间的持久性。

从那里，MuddyWater 可以使用 Mimikatz 执行凭证盗窃，通过 WMI 和 RemCom 进行横向移动，并通过定制版本的 Ligolo 隧道工具将被盗数据发送到 C2 服务器。

最新的 MuddyWater 附加链 (Microsoft)
自定义反向代理通信
Ligolo 是一种开源反向隧道工具，黑客使用它来保护后门和 C2 基础设施之间的通信。

MERCURY 在最新活动中使用的修改版本以名为“vpnui.exe”的可执行文件的形式出现。

虽然微软的报告没有详细介绍特定工具，但我们从Security Joes 2022 年 3 月的一份报告中得知，黑客添加了有用的功能，例如执行检查和命令行参数。

Security Joes 将定制 Ligolo 的外观大致归因于 MuddyWater，而微软最近的报告进一步证实了这一归因。

该报告在最后一部分列出了有关 MuddyWater 检测机会和狩猎查询的更多详细信息，因此如果您在该组的目标范围内，请务必检查它。