Un grupo de piratas informáticos. vinculado al gobierno iraní, ha estado explotando las vulnerabilidades de Log4j 2 en SysAid, un conjunto de aplicaciones populares de software de soporte y gestión de TI, según Microsoft.
El centro de inteligencia de amenazas de la compañía y otros componentes afirmaron con “confianza moderada” esta semana que el grupo, al que llaman MERCURY (también conocido como MuddyWater), ha estado explotando las vulnerabilidades de Log4j en los servidores de SysAid que ejecutan el código vulnerable. Tanto Microsoft como el gobierno de Estados Unidos han identificado al grupo como afiliado al Ministerio de Inteligencia iraní, y las organizaciones atacadas estaban todas ubicadas en Israel, un enemigo geopolítico de primer orden de la República Islámica.
Microsoft, que recibe telemetría de miles de millones de puntos finales y otros activos de su amplia base de clientes, observó que el grupo irrumpió en las aplicaciones de SysAid los días 23 y 25 de julio de este año. Creen que los compromisos se utilizaron para obtener el acceso inicial a los entornos de las víctimas, pero la compañía parece deducir de esos datos que se estaban aprovechando las vulnerabilidades de Apache, que permite la ejecución remota de código.
Los actores utilizaron ese acceso para lanzar webshells y llevar a cabo una serie de actividades de reconocimiento. En otros casos, el acceso se utilizó para descargar las herramientas preferidas del grupo para llevar a cabo un movimiento lateral o establecer una presencia persistente en las redes de las víctimas. Esto incluye el robo de credenciales de usuario, la escalada a privilegios de administrador y la adición de malware a las carpetas de inicio para garantizar el acceso incluso si la víctima se reinicia.
MuddyWater es considerado por muchas organizaciones de inteligencia de amenazas y agencias gubernamentales estadounidenses como el CiberComando como el principal grupo de ciberespionaje de Irán, con una fuerte presencia en países de Oriente Medio, así como en Europa y Norteamérica. A principios de este año, CyberCom comenzó a publicar algunas de las herramientas de código abierto del grupo en VirusTotal en un esfuerzo por aumentar las tasas de detección, una lista que han actualizado recientemente este mes.
Según una alerta conjunta emitida por los gobiernos de Estados Unidos y el Reino Unido en febrero, el grupo de piratas informáticos es “conocido por explotar vulnerabilidades de las que se ha informado públicamente”, como Log4j, y también ha atacado a organizaciones del sector público y a infraestructuras críticas de todo el mundo, incluidos los sectores de las telecomunicaciones, la defensa y el petróleo y el gas, así como las administraciones locales.
SysAid lanzó parches para la vulnerabilidad en sus productos en la nube y en las instalaciones en enero. Microsoft aconseja a las organizaciones que utilizan SysAid que se aseguren de tener las versiones más actualizadas del software, que revisen los registros de autenticación de la infraestructura de acceso remoto y que actualicen la autenticación multifactor cuando sea posible. El blog también incluye 14 indicadores de compromiso distintos para que las organizaciones los aprovechen para la detección.
Spanish
English
Portuguese
Chinese (Simplified)
Russian
French
German
Dutch
Italian