Phosphorous, un grupo de hacking financiado por el gobierno de Irán, habría estado explotando la falla de ejecución remota de código (RCE) en Log4j con el fin de distribuir una nueva herramienta modular de PowerShell en los sistemas vulnerables. También identificado como APT35, este grupo ha desarrollado diversas herramientas para explotar estas fallas, presentes en millones de implementaciones.
Acorde a los investigadores de Check Point, el grupo de hacking explotó las fallas en Log4j de forma apresurada y descuidada, empleando un kit de explotación JNDI que había sido publicado en GitHub, lo que permitió identificar las implementaciones atacadas por Phosphorous.
Después de explotar Log4j en sistemas públicos, el grupo utiliza un backdoor modular basado en PowerShell para ganar persistencia en el sistema afectado, realizar comunicaciones C&C y recibir comandos adicionales. El módulo principal del marco PowerShell del atacante valida las conexiones de red, enumera las características de un sistema comprometido, recupera el dominio C&C de una URL codificada y toma, descifra y ejecuta los módulos posteriores.
Cada módulo malicioso tiene capacidades únicas, incluyendo el listado de las aplicaciones instaladas en el sistema, capturas de pantalla y registro de los procesos en ejecución. Al terminar la recopilación de información, se entrega un módulo de limpieza para eliminar cualquier rastro de ataque.
Los investigadores agregan que, a diferencia de la mayoría de grupos APT, los operadores de Phosphorous no se molestan en cambiar las herramientas e infraestructura utilizada en ataques anteriores, por lo que comenten frecuentemente severos errores: “Este grupo es reconocido entre la comunidad de la ciberseguridad por la gran cantidad de errores de seguridad operativa (OpSec) que cometen, replicando siempre las mismas fallas cada vez que se detecta una campaña maliciosa asociada”.
El reporte agrega que hay estilos de codificación similares entre los scripts de PowerShell usados para Log4Shell y los que el grupo usó en el spyware de Android detallado por investigadores de Google a finales de 2021.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.