Microsoft: хакеры все еще применяют опаснейшую уязвимость Log4j

Одна из опаснейших уязвимостей Log4Shell все еще используется злоумышленниками спустя более полугода после того, как она была впервые обнаружена, а ошибка, дающая возможность её использовать, исправлена.

В новом отчете Microsoft Threat Intelligence Center (MSTIC) и исследовательской группы Microsoft 365 Defender говорится, что недавно обнаруженные злоумышленники, известные как MERCURY (или MuddyWater), используют Log4Shell против организаций, расположенных в Израиле.

Преступники использовали уязвимость в приложениях SysAid, что является относительно новым подходом.

Из сообщения команды:

«Хотя в прошлом MERCURY использовала эксплойты Log4j 2, например, в уязвимых приложениях VMware, мы не видели, чтобы этот субъект использовал приложения SysAid в качестве вектора для первоначального доступа».

Хакеры используют Lof4Shell для получения доступа к целевым конечным точкам и удаления веб-оболочек, которые дают им возможность выполнять несколько команд. Большинство из них предназначены для разведки, но один из зловредов загружает больше хакерских инструментов.

После использования Log4Shell для получения доступа к целевым MERCURY устанавливает персистентность, сбрасывает учетные данные и перемещается по целевой сети в горизонтальном направлении, сообщает Microsoft.

Зловред добавляет новую учетную запись администратора в скомпрометированную систему и добавляет программное обеспечение в папках автозагрузки и ключах реестра ASEP, чтобы обеспечить сохранение даже после перезагрузки.

Чтобы уменьшить угрозу MERCURY, Microsoft рекомендует предпринять ряд мер безопасности, в том числе проверить, использует ли организация SysAid, и применить исправления безопасности и обновления, если они доступны.

Организации также должны блокировать входящий трафик с IP-адресов, указанных в опубликованной таблице индикаторов компрометации.

Все действия по проверке подлинности для инфраструктуры удаленного доступа должны быть пересмотрены, при этом ИТ-специалисты должны сосредоточиться в основном на учетных записях, настроенных с однофакторной проверкой подлинности. Наконец, многофакторная аутентификация (MFA) должна быть включена везде, где это возможно.

Startpack подготовил список антивирусных продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.

Статьи по теме