Log4Shell, l’une des vulnérabilités les plus importantes et potentiellement les plus dévastatrices jamais découvertes, est toujours exploitée par les acteurs de la menace plus de six mois après avoir été observée et corrigée pour la première fois.
Un nouveau rapport du Microsoft Threat Intelligence Center (MSTIC) et de l’équipe de recherche Microsoft 365 Defender a déclaré que des acteurs de la menace récemment découverts, connus sous le nom de MERCURY (également connu sous le nom de MuddyWater), utilisaient Log4Shell contre des organisations toutes situées en Israël. MERCURY serait un acteur iranien de la menace parrainé par l’État, sous le commandement direct du ministère iranien du renseignement et de la sécurité.
Les criminels ont utilisé la faille sur les applications SysAid, qui est une approche relativement nouvelle, ont déclaré les équipes : « Alors que MERCURY a utilisé des exploits Log4j 2 dans le passé, comme sur des applications VMware vulnérables, nous n’avons pas vu cet acteur utiliser les applications SysAid comme un vecteur d’accès initial jusqu’à présent.
Établir la persistance, voler des données
Le groupe utilise Lof4Shell pour accéder aux terminaux cibles et supprime les shells Web qui leur permettent d’exécuter plusieurs commandes. La plupart d’entre eux sont destinés à la reconnaissance, mais on télécharge davantage d’outils de piratage.
Après avoir utilisé Log4Shell pour accéder aux endpoints cibles (s’ouvre dans un nouvel onglet)MERCURY établit la persistance, vide les informations d’identification et se déplace latéralement sur le réseau cible, explique Microsoft.
Il ajoute un nouveau compte administrateur au système compromis et ajoute un logiciel à effet de levier (s’ouvre dans un nouvel onglet) dans les dossiers de démarrage et les clés de registre ASEP, pour assurer la persistance même après le redémarrage.
Pour atténuer la menace de MERCURY, Microsoft recommande d’adopter un certain nombre de considérations de sécurité, notamment de vérifier si l’organisation utilise SysAid et d’appliquer des correctifs de sécurité. (s’ouvre dans un nouvel onglet) et les mises à jour, si disponibles.
Les organisations doivent également bloquer le trafic entrant à partir des adresses IP spécifiées dans le tableau des indicateurs de compromission, trouvé ici (s’ouvre dans un nouvel onglet). Toutes les activités d’authentification pour l’infrastructure d’accès à distance doivent être revues, les équipes informatiques se concentrant principalement sur les comptes configurés avec une authentification à facteur unique. Enfin, l’authentification multifacteur (MFA) doit être activée dans la mesure du possible.