研究人员周四表示,与伊朗政府结盟的黑客正在利用关键的Log4j漏洞,用勒索软件感染未打补丁的VMware用户。
安全公司SentinelOne将该组织命名为TunnelVision。该名称旨在强调TunnelVision对隧道工具的高度依赖,以及其独特的部署方式。在过去,TunnelVision利用了所谓的1天漏洞,即最近修补的漏洞,用于尚未安装修复程序的黑客组织。Fortinet FortiOS(CVE-2018-13379)和Microsoft Exchange(ProxyShell)中的漏洞是该集团更知名的两个目标。
据SentinelOne报道,TunnelVision最近开始利用Log4j中的一个关键漏洞进行攻击。Log4j是一个开源日志工具,已集成到数千个应用程序中。CVE-2021-44228(或Log4Shell,该漏洞被追踪或昵称)允许攻击者轻松获得对运行Java编程语言应用程序的计算机的远程控制。这种病毒叮咬了互联网上最大的玩家,并在它被发现后在野外成为了广泛的目标。SentinelOne的研究表明,目标仍在继续,这一次的目标是运行VMware Horizon的组织,VMware Horizon是一款在Windows、macOS和Linux上运行的桌面和应用程序虚拟化产品。
该公司的研究人员阿米泰·本·舒山·埃利希(Amitai Ben Shushan Ehrlich)和雅尔·里格夫斯基(Yair Rigevsky)在一篇帖子中写道:“隧道入侵攻击者一直在积极利用该漏洞来运行恶意的PowerShell命令、部署后门、创建后门用户、获取凭据和执行横向移动。”。“通常,威胁参与者最初利用Log4j漏洞直接运行PowerShell命令,然后通过PS reverse Shell运行进一步的命令,通过Tomcat进程执行。”
Apache Tomcat是一个开源Web服务器,VMware和其他企业软件使用它来部署和服务基于Java的Web应用。一旦安装了一个外壳,黑客就可以在被攻击的网络上远程执行他们选择的命令。此处使用的PowerShell似乎是此公开版本的变体。安装后,TunnelVision成员将使用它:
下载并运行隧道工具,包括Plink和Ngrok,它们用于隧道远程桌面协议流量
黑客使用多种合法服务来实现和掩盖他们的活动。这些服务包括:
试图确定自己的组织是否受到影响的人应该寻找与这些合法公共服务部门的不明原因的联系。
周四的报告称,隧道探测与其他研究人员多年来暴露的几个威胁团体有重叠。微软将其中一个小组称为磷。据微软报道,该组织试图侵入美国总统竞选活动,并安装勒索软件,以期创收或扰乱对手。联邦政府还表示,伊朗黑客一直在用勒索软件攻击美国的关键基础设施。Sentineone表示,TunnelVision还与安全公司CrowdStrike tracks的两个威胁组织“迷人的小猫”和“复仇女神的小猫”重叠。
“我们以‘隧道视觉’的名义分别跟踪这个集群,”哨兵研究人员写道。“这并不意味着我们认为它们必然无关,只是目前没有足够的数据将它们视为与上述任何归因相同。”
这篇文章提供了一个指标列表,管理员可以使用这些指标来确定自己是否受到了威胁。