Een initiële toegangsmakelaarsgroep gevolgd als Profeet Spider is gekoppeld aan een reeks kwaadaardige activiteiten die misbruik maken van de Log4Shell-kwetsbaarheid in niet-gepatchte VMware Horizon-servers.
volgens nieuw Onderzoek vandaag gepubliceerd door BlackBerry Research & Intelligence en Incident Response (IR)-teams, heeft de cybercriminaliteit opportunistisch de tekortkoming bewapend om een tweede fase payload te downloaden naar de getroffen systemen.
De waargenomen payloads omvatten cryptocurrency-mijnwerkers, Cobalt Strike Beacons en webshells, wat een eerder advies van de Britse National Health Service (NHS) bevestigt dat alarm sloeg over actieve exploitatie van de kwetsbaarheden in VMware Horizon-servers om kwaadaardige webshells te verwijderen en persistentie te bewerkstelligen op getroffen netwerken voor vervolgaanvallen.
Log4Shell is een bijnaam die wordt gebruikt om te verwijzen naar een exploit die de populaire Apache Log4j-bibliotheek beïnvloedt en die resulteert in het uitvoeren van externe code door een speciaal vervaardigde tekenreeks te loggen. Sinds de bekendmaking van de fout vorige maand, hebben bedreigingsactoren deze nieuwe aanvalsvector snel geoperationaliseerd voor een verscheidenheid aan inbraakcampagnes om volledige controle over de getroffen servers te krijgen.
BlackBerry zei dat het gevallen van exploitatie-mirroring-tactieken, -technieken en -procedures (TTP’s) heeft waargenomen die eerder werden toegeschreven aan het Prophet Spider eCrime-kartel, inclusief het gebruik van het mappad “C:WindowsTemp7fde” om kwaadaardige bestanden op te slaan en “wget .bin” uitvoerbaar bestand om extra binaire bestanden op te halen, evenals overlappingen in de infrastructuur die door de groep wordt gebruikt.
“Prophet Spider krijgt voornamelijk toegang tot slachtoffers door kwetsbare webservers te compromitteren en gebruikt een verscheidenheid aan tools met een lage prevalentie om operationele doelen te bereiken,” CrowdStrike dat is genoteerd in augustus 2021, toen werd opgemerkt dat de groep actief misbruik maakte van fouten in Oracle WebLogic-servers om de eerste toegang tot doelomgevingen te krijgen.
Net als bij veel andere initiële toegangsmakelaars, worden de voet aan de grond verkocht aan de hoogste bieder op ondergrondse forums op het dark web, die vervolgens de toegang exploiteren voor de implementatie van ransomware. Het is bekend dat Prophet Spider sinds ten minste mei 2017 actief is.
Dit is verre van de eerste keer dat op internet gerichte systemen met VMware Horizon worden aangevallen met Log4Shell-exploits. Eerder deze maand belde Microsoft een in China gevestigde operator die werd gevolgd als DEV-0401 voor het inzetten van een nieuwe ransomware-stam genaamd NightSky op de gecompromitteerde servers.
De aanval op Horizon-servers heeft VMware er ook toe aangezet zijn klanten aan te sporen om: pas de patches toe onmiddellijk. “De gevolgen van deze kwetsbaarheid zijn ernstig voor elk systeem, vooral voor systemen die verkeer van het open internet accepteren”, zegt de virtualisatieserviceprovider. gewaarschuwd.
“Als een access broker-groep interesse toont in een kwetsbaarheid waarvan de omvang zo onbekend is, is dat een goede indicatie dat aanvallers aanzienlijke waarde zien in de exploitatie ervan”, zegt Tony Lee, vice-president van global services technical operations bij BlackBerry.
“Het is waarschijnlijk dat we criminele groepen zullen blijven zien die de mogelijkheden van de Log4Shell-kwetsbaarheid verkennen, dus het is een aanvalsvector waartegen verdedigers constante waakzaamheid moeten uitoefenen”, voegde Lee eraan toe.
.
