استفاده هکر‌های ایرانی از نقص‌های VMware Horizon Log4j برای استقرار باج‌افزار

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir iranian hackers targeting vmware horizon 1
به ادعای هکر نیوز، یک «عامل بالقوه مخرب» همسو با دولت ایران، فعالانه از آسیب‌پذیری شناخته شده Log4j برای آلوده کردن سرور‌های VMware Horizon اصلاح‌نشده با باج‌افزار استفاده می‌کند.

شرکت امنیت سایبری SentinelOne به دلیل وابستگی شدید آن‌ها به ابزار‌های تونلینگ، گروه را «TunnelVision» نامید، که با همپوشانی‌هایی در تاکتیک‌های مشاهده شده با گروه گسترده‌تری که تحت نام Phosphorus و همچنین Charming Kitten و Nemesis Kitten دنبال می‌شوند.

آمیتای بن شوشان ارلیچ و یایر ریگفسکی، محققین SentinelOne، در گزارشی در رابطه با نفوذ‌های شناسایی شده در خاورمیانه و ایالات متحده گفتند: «فعالیت‌های TunnelVision با بهره‌برداری گسترده از آسیب‌پذیری‌های یک روزه در مناطق هدف مشخص می‌شود».

همچنین در کنار Log4Shell، بهره‌برداری از نقص پیمایش مسیر Fortinet FortiOS (CVE-۲۰۱۸-۱۳۳۷۹) و آسیب‌پذیری Microsoft Exchange ProxyShell برای دسترسی اولیه به شبکه‌های هدف برای بهره‌برداری پس از استقرار مشاهده شده است.

محققان در ادامه گفتند: "مهاجمان TunnelVision فعالانه از این آسیب‌پذیری برای اجرای دستورات مخرب PowerShell، استقرار backdoor، ایجاد کاربران backdoor، جمع‌آوری اعتبارنامه‌ها و انجام حرکات جانبی سواستفاده می‌کنند".

دستورات PowerShell به‌عنوان سکوی پرتاب برای دانلود ابزار‌هایی مانند Ngrok و اجرای دستورات بیشتر با استفاده از shell‌های معکوس استفاده می‌شوند که برای مستقر کردن backdoor در PowerShell که قادر به جمع‌آوری اعتبارنامه‌ها و اجرای دستورات شناسایی است، استفاده می‌شود.

سازمان SentinelOne همچنین گفت که شباهت‌هایی را در مکانیسم مورد استفاده برای اجرای shell وب معکوس با ایمپلنت مبتنی بر PowerShell دیگری به نام PowerLess شناسایی کرده است که توسط محققان Cybereason در اوایل این ماه فاش شده است.

گفته می‌شود که در تمام طول این فعالیت، عامل تهدید از یک ریپوزیتوری GitHub به نام "VmWareHorizon" با نام کاربری "protections20" برای میزبانی payload‌های مخرب استفاده کرده است.

این شرکت امنیت سایبری گفت که این حملات را به یک کلاستر ایرانی جداگانه مرتبط می‌کند، نه به این دلیل که با دیگران مرتبط نیست، بلکه به این دلیل که «در حال حاضر داده‌های کافی برای یکسان بودن آن‌ها با هر یک از اسناد ذکر شده وجود ندارد».

برچسب ها: Ngrok, protections20, VmWareHorizon, TunnelVision, Nemesis Kitten, VMware Horizon, Phosphorus, Log4j, Log4Shell, Microsoft Exchange ProxyShell, Fortinet FortiOS, باج‌افزار, SentinelOne, Payload, Shell, Tunneling, Fortinet, PowerShell, آسیب‌پذیری, Github, گیت هاب, Charming Kitten, Cyber Security, backdoor, بدافزار, امنیت سایبری, جنگ سایبری, Cyber Attacks, مجرمان سایبری, حمله سایبری

نوشته شده توسط تیم خبر.

چاپ