Hakerzy powiązani z irańskim rządem prowadzili kampanię wymierzoną w izraelskie cele. Za wrogimi działaniami stoi dobrze znana grupa, przed którą ostrzegają m.in. Stany Zjednoczone.
W ostatnich tygodniach Microsoft (specjaliści Microsoft Threat Intelligence Center oraz Microsoft 365 Defender Research Team) wykryli nową aktywność grupy „Mercury”. Jej członkowie wykorzystywali luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w Apache Log4j 2 (inna nazwa: Log4Shell) w rozwiązaniach SysAid. Celem były podmioty z Izraela, które z nich korzystały.
Warto mieć na uwadze, że firma SysAid została założona w 2002 r. w Izraelu i stała się wiodącym dostawcą usług pomocy technicznej oraz zarządzania IT. Jak deklaruje przedsiębiorstwo, posiada 5 tys. klientów i partnerów w 140 krajach.
Czytaj też
Powiązania z rządem
Zdaniem ekspertów hakerzy „Mercury” (inna nazwa grupy: MuddyWater) są wspierani przez Iran. Mają wykazywać związki z resortem ds. wywiadu i bezpieczeństwa.
W przeszłości grupa wykorzystywała exploity „Log4j 2” podczas operacji z użyciem np. aplikacji VMware. Wcześniej eksperci nie trafili na przypadek, aby hakerzy użyli „SysAid” jako wektora początkowego ataku.
Czytaj też
Obecność w sieci
W trakcie ostatniej kampanii członkowie grupy po uzyskaniu dostępu pozyskują m.in. dane uwierzytelniające. Poruszają się w obrębie sieci celu za pomocą zarówno niestandardowych, jak i dobrze znanych narzędzi hakerskich.
Stworzony „przyczółek” w infrastrukturze ofiar wykorzystują do naruszania bezpieczeństwa również innych urządzeń w docelowych organizacjach.
Kampanię specjaliści po raz pierwszy zauważyli 23 lipca br.
Szczegóły techniczne kampanii można znaleźć w analizie Microsoftu.
Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].