Los piratas informáticos siguen explotando la vulnerabilidad de Log4j en aplicaciones vulnerables, como lo demuestra el atacante iraní "MuddyWater", que fue descubierto atacando organizaciones israelíes que utilizaban el software SysAid. |
La vulnerabilidad de Log4j ("Log4Shell") fue descubierta y parcheada en diciembre de 2021, pero sigue afectando a una amplia gama de aplicaciones que utilizan la biblioteca de código abierto. Una de esas aplicaciones es SysAid, un software de asistencia técnica que lanzó actualizaciones de seguridad para los errores en enero.
MuddyWater, también conocido como "MERCURY", es un grupo de espionaje que se cree que está operado directamente por el Ministerio de Inteligencia y Seguridad de Irán (MOIS), y que recientemente ha sido visto atacando a las empresas de telecomunicaciones de Oriente Medio y Asia.
Las operaciones de este grupo de piratas informáticos se alinean con los intereses nacionales de Irán, por lo que implican constantemente a entidades israelíes consideradas enemigas del Estado.
Explotación de SysAid para el acceso inicial
La última campaña de hacking de MuddyWater, descrita ayer en un informe de Microsoft, constituye el primer ejemplo de aprovechamiento de las aplicaciones vulnerables de SysAid para penetrar en las redes corporativas.
Anteriormente, MuddyWater se dirigió a instancias de VMWare que presentaban fallos Log4j para dejar caer shells web, pero asumiendo que estos fueron parcheados eventualmente, los atacantes exploraron opciones alternativas.
SysAid es un excelente vector de acceso inicial en ese sentido, ya que sigue incorporando Log4j, y numerosas organizaciones lo utilizan como herramienta de gestión de TI, mesa de servicio y solución de ayuda.
Los piratas informáticos iraníes aprovechan los fallos de Log4Shell para el acceso inicial, ejecutando PowerShell malicioso a través de una solicitud especialmente diseñada enviada a los puntos finales vulnerables y lanzando shells web.
Una vez recopilada la información necesaria a través de cmd.exe, los hackers añaden un usuario, elevan sus privilegios a administrador local y añaden sus herramientas de ataque en las carpetas de inicio para asegurar su persistencia entre reinicios.
A partir de ahí, MuddyWater puede realizar el robo de credenciales mediante Mimikatz, el movimiento lateral a través de WMI y RemCom, y enviar los datos robados al servidor C2 a través de una versión personalizada de la herramienta de tunelización Ligolo.
Comunicaciones de proxy inverso personalizadas
Ligolo es una herramienta de túnel inverso de código abierto que los hackers utilizan para asegurar las comunicaciones entre las puertas traseras y la infraestructura C2.
La versión modificada empleada por MERCURY en la última campaña viene en forma de un ejecutable llamado "vpnui.exe".
Aunque el informe de Microsoft no entra en los detalles de la herramienta en particular, sabemos por un informe de marzo de 2022 de Security Joes que los hackers añadieron características útiles como comprobaciones de ejecución y parámetros de línea de comandos.
Security Joes había atribuido vagamente la aparición del Ligolo personalizado a MuddyWater, y el reciente informe de Microsoft confirma aún más esta atribución.
El informe enumera más detalles sobre las oportunidades de detección de MuddyWater y las consultas de caza en su última sección, así que asegúrate de comprobarlo si estás dentro del ámbito de objetivos del grupo.