微软称，与伊朗政府有关的一个黑客组织一直在利用SysAid中的Log4j漏洞，这是一组流行的IT支持和管理软件应用程序。

微软威胁情报团队以“适度的信心”断言，他们称之为MERCURY（也称为MuddyWater、中国安全研究者称之为“污水”）的组织一直在利用运行易受攻击代码的SysAid服务器中的Log4j漏洞。

微软在其庞大的客户群中接收来自数十亿端点和其他资产的遥测数据，观察到该组织于今年7月23日至25日侵入了SysAid应用程序。他们认为这些入侵活动被用来获得对受害者环境的初始访问权限，但该公司似乎从这些数据中推断出允许远程代码执行的Apache漏洞正在被利用。

“根据对过去活动的观察和在目标环境中发现的漏洞，微软评估所使用的漏洞很可能与Log4j有关。”微软写道。“攻击者在2022年初利用Log4j漏洞攻击VMware应用程序。提供IT管理工具的SysAid可能因其在目标国家（以色列）的存在而成为一个有吸引力的目标。”

参与者使用该访问权限来放置webshell并进行一些基于侦察的活动。在其他情况下，该访问权限用于下载该组织的首选工具，以进行横向移动或在受害网络中建立持久存在。这包括窃取用户凭据、获得管理员权限以及将恶意软件添加到启动文件夹以确保即使受害者重新启动也能访问。

MuddyWater被视为伊朗最大的网络间谍组织，在中东国家以及欧洲和北美都有大量存在。今年早些时候，CyberCom开始在VirusTotal上发布该组织的一些开源工具，以提高检测率，他们最近在上个月更新了一个列表。

根据美国和英国政府2月发布的联合警报，该黑客组织以“利用Log4j等公开报告的漏洞而闻名”，并且还针对全球公共部门组织和关键基础设施，包括电信、国防、石油和天然气部门以及地方政府。

SysAid在1月份推出了针对其云和本地产品中的漏洞补丁。Microsoft建议使用SysAid的组织确保他们拥有最新版本的软件，查看远程访问基础设施的身份验证日志，并尽可能升级到多因素身份验证。

参考链接：www.scmagazine.com