Irańska kampania wymierzona w Izrael. Robota nieprzypadkowych hakerów

W ostatnich tygodniach Microsoft (specjaliści Microsoft Threat Intelligence Center oraz Microsoft 365 Defender Research Team) wykryli nową aktywność grupy „Mercury”. Jej członkowie wykorzystywali luki w zabezpieczeniach umożliwiające zdalne wykonanie kodu w Apache Log4j 2 (inna nazwa: Log4Shell) w rozwiązaniach SysAid. Celem były podmioty z Izraela, które z nich korzystały. 

Warto mieć na uwadze, że firma SysAid została założona w 2002 r. w Izraelu i stała się wiodącym dostawcą usług pomocy technicznej oraz zarządzania IT. Jak deklaruje przedsiębiorstwo, posiada 5 tys. klientów i partnerów w 140 krajach.

Powiązania z rządem

Zdaniem ekspertów hakerzy „Mercury” (inna nazwa grupy: MuddyWater) są wspierani przez Iran. Mają wykazywać związki z resortem ds. wywiadu i bezpieczeństwa. 

W przeszłości grupa wykorzystywała exploity „Log4j 2” podczas operacji z użyciem np. aplikacji VMware. Wcześniej eksperci nie trafili na przypadek, aby hakerzy użyli „SysAid” jako wektora początkowego ataku. 

Obecność w sieci

W trakcie ostatniej kampanii członkowie grupy po uzyskaniu dostępu pozyskują m.in. dane uwierzytelniające. Poruszają się w obrębie sieci celu za pomocą zarówno niestandardowych, jak i dobrze znanych narzędzi hakerskich. 

Stworzony „przyczółek” w infrastrukturze ofiar wykorzystują do naruszania bezpieczeństwa również innych urządzeń w docelowych organizacjach. 

Kampanię specjaliści po raz pierwszy zauważyli 23 lipca br. 

Szczegóły techniczne kampanii można znaleźć w analizie Microsoftu.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].