伊朗黑客利用Log4j漏洞部署PowerShell后门

一名伊朗国家赞助的参与者被观察到扫描并试图滥用公开的Java应用程序中的Log4Shell漏洞，以部署一个迄今为止未被记录的基于PowerShell的模块化后门，名为“CharmPower“参与者的攻击设置显然很仓促，因为他们使用基本的开源工具进行攻击，并基于以前的基础设施进行操作，这使得攻击更容易检测和确定属性，”Check Point的研究人员在本周发布的一份报告中说

以色列网络安全公司将此次攻击与一个名为APT35的组织联系起来，该组织也使用代号为Charming Kitten、Popular和TA453进行跟踪，称其与之前被认定为威胁参与者使用的基础设施的工具集存在重叠

利用Log4j库的便利性，加上Log4j库的广泛使用，已经创造了大量的目标，尽管这个缺陷已经吸引了成群结队的不良行为者，他们抓住机会，自上个月公开披露以来，发动了一系列令人眼花缭乱的攻击#虽然微软之前指出了APT35获取和修改Log4j漏洞的努力，但最新的调查结果表明，黑客组织已经利用该漏洞分发PowerShell植入物，该植入物能够检索下一阶段的模块，并将数据导出到指挥与控制（C2）服务器

CharmPower的模块还支持各种情报收集功能，包括收集系统信息、列出已安装的应用程序、截图、枚举正在运行的进程、执行C2服务器发送的命令，以及清除这些组件产生的任何证据迹象的功能

“根据他们利用Log4j漏洞的能力和CharmPower后门的代码片段判断，参与者能够快速改变策略，并为攻击的每个阶段积极开发不同的实现，”研究人员说