Iraanse hackers die zich richten op VMware Horizon Log4j-fouten om ransomware te implementeren

VMware Horizon Log4j Nachrichten

Een “potentieel destructieve actor” die banden heeft met de regering van Iran, maakt actief gebruik van de bekende Log4j-kwetsbaarheid om ongepatchte VMware Horizon-servers te infecteren met ransomware.

Cybersecuritybedrijf SentinelOne noemde de groep “Tunnelvisie” vanwege hun grote afhankelijkheid van tunnelgereedschap, met overlappingen in tactieken die worden waargenomen met die van een bredere groep die wordt gevolgd onder de naam Phosphorus, evenals Charming Kitten en Nemesis Kitten.

“TunnelVision-activiteiten worden gekenmerkt door wijdverbreide exploitatie van 1-daagse kwetsbaarheden in doelregio’s,” SentinelOne-onderzoekers Amitai Ben Shushan Ehrlich en Yair Rigevsky zei in een rapport, met de inbraken gedetecteerd in het Midden-Oosten en de VS

Naast Log4Shell wordt ook de exploitatie van Fortinet FortiOS path traversal-fout (CVE-2018-13379) en de Microsoft Exchange ProxyShell-kwetsbaarheid waargenomen om initiële toegang te krijgen tot de doelnetwerken voor post-exploitatie.

“TunnelVision-aanvallers hebben actief misbruik gemaakt van de kwetsbaarheid om kwaadaardige PowerShell-commando’s uit te voeren, backdoors in te zetten, backdoor-gebruikers te creëren, referenties te verzamelen en zijwaartse bewegingen uit te voeren”, aldus de onderzoekers.

De PowerShell-opdrachten worden gebruikt als startpunt om tools zoals Ngrok te downloaden en andere opdrachten uit te voeren door middel van omgekeerde shells die worden gebruikt om een ​​PowerShell-backdoor te verwijderen die in staat is om referenties te verzamelen en verkenningsopdrachten uit te voeren.

SentinelOne zei ook dat het overeenkomsten identificeerde in het mechanisme dat wordt gebruikt om de omgekeerde webshell uit te voeren met een ander op PowerShell gebaseerd implantaat genaamd PowerLess, dat eerder deze maand door onderzoekers van Cybereason werd onthuld.

Tijdens de hele activiteit zou de dreigingsactor een GitHub-repository hebben gebruikt die bekend staat als “VmWareHorizon” onder de gebruikersnaam “protections20” om de kwaadaardige payloads te hosten.

Het cyberbeveiligingsbedrijf zei dat het de aanvallen associeerde met een afzonderlijk Iraans cluster, niet omdat ze niets met elkaar te maken hebben, maar vanwege het feit dat “er momenteel onvoldoende gegevens zijn om ze als identiek aan een van de bovengenoemde toeschrijvingen te behandelen.”

David
Rate author
Hackarizona