Les pirates chinois ciblent les serveurs VMware Horizon avec Log4Shell pour déployer le rootkit

Chinese hackers richten zich op VMware Horizon-servers met Log4Shell om rootkit te implementeren Des nouvelles

Une menace persistante avancée chinoise connue sous le nom de Deep Panda a été observée exploitant la vulnérabilité Log4Shell dans les serveurs VMware Horizon pour déployer une porte dérobée et un nouveau rootkit sur les machines infectées dans le but de voler des données sensibles.

« La nature du ciblage était opportuniste dans la mesure où de multiples infections dans plusieurs pays et divers secteurs se sont produites aux mêmes dates », mentionné Rotem Sde-Or et Eliran Voronovitch, chercheurs chez FortiGuard Labs de Fortinet, dans un rapport publié cette semaine. « Les victimes appartiennent aux secteurs de la finance, de l’université, des cosmétiques et du voyage. »

Panda profondégalement connu sous les surnoms Shell Crew, KungFu Kittens et Bronze Firestone, serait actif depuis au moins 2010, avec des attaques récentes « ciblant des cabinets juridiques pour l’exfiltration de données et des fournisseurs de technologie pour la construction d’infrastructures de commande et de contrôle ». selon à Secure Works.

La société de cybersécurité CrowdStrike, qui a attribué le nom sur le thème du panda au groupe depuis juillet 2014, appelé c’est « l’un des groupes de cyber-intrusion des États-nations chinois les plus avancés ».

La dernière série d’attaques documentées par Fortinet montre que la procédure d’infection impliquait l’exploitation de la faille d’exécution de code à distance Log4j (alias Log4Shell) dans les serveurs VMware Horizon vulnérables pour engendrer une chaîne d’étapes intermédiaires, conduisant finalement au déploiement d’une porte dérobée baptisée Milestone. (« 1.dll »).

Basé sur le code source divulgué de l’infâme Gh0st RAT mais avec des différences notables dans le mécanisme de communication de commande et de contrôle (C2) utilisé, Milestone est également conçu pour envoyer des informations sur les sessions en cours sur le système au serveur distant.

Un rootkit du noyau appelé « Fire Chili » a également été détecté lors des attaques. Il est signé numériquement avec des certificats volés par des sociétés de développement de jeux, ce qui lui permet d’échapper à la détection par les logiciels de sécurité et de dissimuler les opérations de fichiers, les processus, les ajouts de clés de registre et les connexions réseau malveillants.

Ceci est réalisé au moyen de ioctl (contrôle d’entrée/sortie) pour masquer la clé de registre du rootkit du pilote, les fichiers de la porte dérobée Milestone, ainsi que le fichier et le processus de chargement utilisés pour lancer l’implant.

L’attribution de Fortinet à Deep Panda découle de chevauchements entre Milestone et Infoadmin RAT, un cheval de Troie d’accès à distance utilisé par le collectif de piratage sophistiqué au début des années 2010, avec des indices supplémentaires indiquant des similitudes tactiques avec celui du groupe Winnti.

Ceci est soutenu par l’utilisation de signatures numériques compromises appartenant à des sociétés de jeux, une cible de choix pour Winnti, ainsi qu’un domaine C2 (gnisoft[.]com), qui a été précédemment lié à l’acteur parrainé par l’État chinois en 2020.

« La raison pour laquelle ces outils sont liés à deux groupes différents n’est pas claire pour le moment », ont déclaré les chercheurs. « Il est possible que les développeurs des groupes aient partagé des ressources, telles que des certificats volés et une infrastructure C2, entre eux. Cela peut expliquer pourquoi les échantillons n’ont été signés que plusieurs heures après avoir été compilés. »

La divulgation s’ajoute à une longue liste de groupes de piratage qui ont exploité la vulnérabilité Log4Shell ciblant la plate-forme de virtualisation de VMware.

En décembre 2021, CrowdStrike a décrit une campagne infructueuse entreprise par un adversaire surnommé Aquatic Panda qui a exploité la faille pour effectuer diverses opérations de post-exploitation, y compris la reconnaissance et la collecte d’informations d’identification sur des systèmes ciblés.

Depuis lors, plusieurs groupes ont rejoint la mêlée, y compris le groupe iranien TunnelVision, qui a été observé en train d’exploiter activement le défaut de la bibliothèque de journalisation Log4j pour compromettre les serveurs VMware Horizon non corrigés avec un ransomware.

Plus récemment, la société de cybersécurité Sophos Souligné une multitude d’attaques contre des serveurs Horizon vulnérables qui sont en cours depuis janvier et ont été montées par des acteurs de la menace pour exploiter illégalement la crypto-monnaie, installer des shells inversés basés sur PowerShell ou déployer des agents Atera pour fournir à distance des charges utiles supplémentaires.

« Les tentatives de compromission des serveurs Horizon font partie des exploits les plus ciblés des vulnérabilités Log4Shell en raison de leur nature », ont déclaré les chercheurs de Sophos, ajoutant que « les plates-formes telles qu’Horizon sont des cibles particulièrement attrayantes pour tous les types d’acteurs malveillants car elles sont répandues et peuvent (si elles sont encore vulnérables) faciles à trouver et à exploiter avec des outils éprouvés. »

David
Rate author
Hackarizona