Microsoft: хакеры все еще применяют опаснейшую уязвимость Log4j
Microsoft: хакеры все еще применяют опаснейшую уязвимость Log4j
В новом отчете Microsoft Threat Intelligence Center (MSTIC) и исследовательской группы Microsoft 365 Defender говорится, что недавно обнаруженные злоумышленники, известные как MERCURY (или MuddyWater), используют Log4Shell против организаций, расположенных в Израиле.
Преступники использовали уязвимость в приложениях SysAid, что является относительно новым подходом.
Из сообщения команды:
«Хотя в прошлом MERCURY использовала эксплойты Log4j 2, например, в уязвимых приложениях VMware, мы не видели, чтобы этот субъект использовал приложения SysAid в качестве вектора для первоначального доступа».
Хакеры используют Lof4Shell для получения доступа к целевым конечным точкам и удаления веб-оболочек, которые дают им возможность выполнять несколько команд. Большинство из них предназначены для разведки, но один из зловредов загружает больше хакерских инструментов.
После использования Log4Shell для получения доступа к целевым MERCURY устанавливает персистентность, сбрасывает учетные данные и перемещается по целевой сети в горизонтальном направлении, сообщает Microsoft.
Зловред добавляет новую учетную запись администратора в скомпрометированную систему и добавляет программное обеспечение в папках автозагрузки и ключах реестра ASEP, чтобы обеспечить сохранение даже после перезагрузки.
Чтобы уменьшить угрозу MERCURY, Microsoft рекомендует предпринять ряд мер безопасности, в том числе проверить, использует ли организация SysAid, и применить исправления безопасности и обновления, если они доступны.
Организации также должны блокировать входящий трафик с IP-адресов, указанных в опубликованной таблице индикаторов компрометации.
Все действия по проверке подлинности для инфраструктуры удаленного доступа должны быть пересмотрены, при этом ИТ-специалисты должны сосредоточиться в основном на учетных записях, настроенных с однофакторной проверкой подлинности. Наконец, многофакторная аутентификация (MFA) должна быть включена везде, где это возможно.
Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было