😊DigitalDanceDaily
Notícias Exibir por tópico AI? Jogos de Vídeo iPhone Android Apple Google Microsoft Hardware
😊DigitalDanceDaily

Contents

Apresentando Log4Shell!

 included in News
   973 words   5 minutes 
Contents

Foi relatado que o notório coletivo de hackers Lazarus, responsável por vários ataques cibernéticos de alto perfil no passado, incluindo o infame ataque de ransomware WannaCry em 2017, lançou uma nova operação utilizando duas ferramentas de acesso remoto (RATs) recentemente desenvolvidas. ), nomeadamente Bottom Loader, juntamente com outro programa de download. Esses RATs avançados incluem NineDLL e Double Dragonfly.

Foi observada a utilização da linguagem de programação D na criação de todas as três variedades de software malicioso, embora a sua aplicação pouco frequente em atividades de crime cibernético possa ter sido selecionada para complicar os esforços de deteção. No entanto, o que é mais significativo é que cada variante aproveita a vulnerabilidade CVE-2021-44228, vulgarmente referida como “Log4Shell”, que foi amplamente discutida no domínio da segurança no final de 2021, quando a sua identificação suscitou considerável espanto.

Uma vulnerabilidade crítica conhecida como Log4Shell foi identificada na biblioteca de software de registro amplamente utilizada Log4j, afetando versões que variam de 2.0-beta9 a 2.15.0. Essa falha permite a execução remota de código não autenticado, permitindo que os invasores obtenham controle total sobre os sistemas afetados. Descoberta como uma exploração ativa de dia zero em 10 de dezembro de 2021, esta vulnerabilidade representa uma oportunidade fácil para os agentes de ameaças devido ao seu amplo alcance e implicações significativas de segurança.

Após uma análise mais aprofundada das atividades do agente da ameaça Lazarus, uma campanha recente conhecida como “Operação Blacksmith” veio à tona, que foi detectada pelos especialistas em segurança cibernética da Cisco Talos. A operação teria começado em Março de 2023, com o seu foco em organizações dos sectores industrial, agrícola e de segurança física à escala internacional.

/images/121223_log4shell_opblacksmith.jpg

NineRAT emprega a API Telegram para fins de comando e controle e comunicação, permitindo a recepção e extração de dados de sistemas comprometidos. Além disso, inclui um componente conta-gotas que garante a persistência e o lançamento automático dos componentes essenciais. O malware oferece múltiplas funções além das mencionadas anteriormente, como atualizar seu próprio código para permanecer inativo por um intervalo predeterminado ou remover-se completamente.

Embora o Emissary Panda funcione principalmente como um backdoor, o DLRAT serve tanto como Trojan quanto como downloader, permitindo que o Lazarus implante cargas adicionais em sistemas comprometidos. Após a infiltração, o DLRAT executa inicialmente instruções predeterminadas para coletar dados críticos sobre o sistema de destino, incluindo especificações do sistema operacional e endereço MAC da rede, e transmite essas informações para o servidor remoto de Comando e Controle (C2). Este malware versátil oferece uma variedade de comandos que permitem o download e renomeação de arquivos residentes no host afetado, facilitando o upload de conteúdo para o servidor C2 ou colocando o DLRAT em um estado passivo por um período de tempo designado.

BottomLoader é um programa de software malicioso que recupera e executa cargas de uma URL predeterminada utilizando o PowerShell, enquanto mantém acesso persistente por meio da modificação do diretório de inicialização. Além disso, possui a capacidade de extrair dados de sistemas infectados e transmiti-los para um servidor remoto de comando e controle.

O objetivo desta operação é infiltrar-se nos servidores VMware Horizon utilizando uma versão defeituosa do componente de software Log4j. Ao identificar um alvo potencial, o grupo Lazarus conduz uma exploração da rede para estabelecer acesso duradouro através da instalação de um instrumento proxy. Depois disso, eles criam novas credenciais administrativas e implantam ferramentas maliciosas adicionais, incluindo programas de coleta de credenciais como ProcDump e MimiKatz. Nesta fase, tanto o NineRAT quanto o DLRAT podem ser introduzidos. Além disso, permanece incerto se o coletivo Lazarus utiliza os dados obtidos pelo NineRAT para fins relacionados a ameaças persistentes avançadas.

/images/log4shell_720.jpg

Apesar de as atualizações de segurança para a biblioteca Log4j estarem disponíveis há dois anos, um número considerável de empresas continua a utilizar versões desatualizadas e vulneráveis ​​deste software, o que pode expô-las a potenciais riscos de segurança, como o Log4Shell. Para obter informações sobre o estado atual da segurança de aplicações em relação ao Log4j, a empresa de segurança cibernética Veracode conduziu uma análise de mais de 38.000 aplicações obtidas de aproximadamente 3.866 organizações diferentes durante um período que vai de 15 de agosto a 15 de novembro.

Em relação aos aplicativos que utilizam versões Log4j variando de 1.1 a 3.0.0-alpha1, foi verificado que 2,8% deles empregam variantes Log4j dentro da faixa de 2.0-beta9 a 2.15.0, que são suscetíveis ao ataque Log4Shell. Além disso, 3,8% confiam na versão 2.17.0, embora esta edição não seja suscetível ao Log4Shell, ela ainda enfrenta ameaças que capitalizam a falha CVE-2021-44832. Além disso, uma parcela substancial, representando 32%, faz uso da versão desatualizada do Log4j 1.2.x,

Apesar dos avanços na tecnologia, ainda há casos em que os indivíduos optam por iterações de software desatualizadas, como o Log4j, o que serve como uma indicação da negligência generalizada entre os desenvolvedores e o pessoal de manutenção em relação a patches de segurança cruciais. De acordo com descobertas recentes da Veracode, esta negligência vai além de meras atualizações, com muitos programadores optando por desconsiderar a necessidade de atualização de bibliotecas de terceiros, uma vez integradas em seus projetos. Esta decisão é muitas vezes tomada devido a preocupações sobre possíveis deficiências funcionais, mesmo quando se trata de pequenos ajustes e correções de bugs que não afetam o desempenho geral.

Infelizmente, observou-se que o Log4j representa uma ameaça potencial em aproximadamente um terço dos casos, pois apresenta uma vulnerabilidade acessível que pode prejudicar objetivos cruciais. O facto de o surgimento do Log4Shell não ter servido como catalisador para uma maior sensibilização para a segurança no sector das tecnologias de informação, como previsto há cerca de dois anos, realça ainda mais a necessidade de uma maior vigilância. Lamentavelmente, a recente campanha Lazarus sublinha estas preocupações e enfatiza a importância contínua de abordar tais vulnerabilidades de forma proactiva.

*️⃣ Link da fonte:

identificado por pesquisadores de segurança do Cisco Talos , Veracode analisado,

Updated on 2023-12-12
Back | Home