伊朗黑客团伙利用Log4j漏洞进行攻击

关键要点

2021年5月24日，伊朗国旗在维也纳国际原子能机构总部大楼前飘扬。根据微软的消息，一个与伊朗政府相关的黑客团伙正在利用Log4j2的漏洞，针对SysAid这一流行的IT支持和管理软件进行攻击。

微软的威胁情报中心及其它部门本周以“中等信心”确认，该团伙MERCURY正在使用Log4j漏洞攻击运行了具有漏洞代码的SysAid服务器。微软和美国政府已经将该团伙认定为与伊朗情报部有关联，攻击的目标均位于以色列，这是伊朗的主要地缘政治对手。

微软从其庞大的客户基础中接收来自数十亿终端的信息，观察到该团伙在今年的7月23日和25日侵入了SysAid应用程序。微软相信，这些攻击为黑客提供了进入受害者环境的初始访问权限。根据分析，他们推测黑客利用了Apache的远程代码执行漏洞。

“根据对过去攻击的观察以及在目标环境中发现的漏洞，微软评估所使用的漏洞与Log4j 2很可能有关。”微软表示。

据悉，黑客利用获得的访问权限部署了webshell，并进行了一系列侦察活动。在其他案例中，他们还下载了用于横向移动或在受害者网络中建立持久存在的工具，手段包括窃取用户凭据、提升至管理员权限，甚至在启动文件夹中添加恶意软件，以确保即使受害者重启也能持续访问网络。

MuddyWater被许多网络情报机构和美国政府机构如网络司令部视为伊朗最顶尖的网络间谍组织，在中东国家、欧洲和北美都有很强的影响力。今年早些时候，网络司令部开始在VirusTotal上发布一些该团伙的开源工具，以提高检测率，并在最近的几个月对该列表进行了更新。

根据美国和英国政府在2月份发布的联合警报，该黑客团伙“已知利用公开报告的漏洞”，并且还针对全球范围内的公共部门和关键基础设施进行攻击，包括电信、国防、石油和天然气行业以及地方政府。

SysAid在一月推出了修补程序，以修复其云服务和本地产品中的漏洞。微软建议使用SysAid的组织确保软件最新，审查远程访问基础设施的认证日志，并尽可能升级到多因素认证。博客中还包括了14项不同的妨害指标，供组织用于检测。

信息来源：Microsoft