Une vague de cyberattaques exploitant la vulnérabilité Log4Shell Remote Code Execution (RCE) dans le composant de journalisation Apache Log4j Java semble cibler les utilisateurs des serveurs VMware Horizon, selon de nouvelles informations des analystes de Sophos.
Dans un article récemment publié Une horde de robots mineurs et de portes dérobées a utilisé Log4j pour attaquer les serveurs VMware HorizonLes chercheurs de Sophos révèlent comment les attaquants continuent d’exploiter l’incapacité généralisée à tenir compte de Log4Shell pour fournir des portes dérobées et des scripts de profilage aux serveurs VMware Horizon, jetant les bases d’un accès persistant et facilitant les futures attaques de ransomwares.
« Les applications répandues comme VMware Horizon qui sont exposées à Internet et nécessitent une mise à jour manuelle sont particulièrement vulnérables aux attaques à grande échelle », a déclaré Sean Gallagher, chercheur senior en sécurité chez Sophos.
« Les détections de Sophos révèlent des vagues d’attaques ciblant les serveurs Horizon à partir de janvier, fournissant une gamme de portes dérobées et de cryptomineurs aux serveurs et scripts non corrigés pour collecter certaines informations sur les appareils. »
Sophos pense que les portes dérobées sont fournies par les Initial Access Brokers (IAB), un élément de plus en plus utilisé de la « chaîne d’approvisionnement » du ransomware-as-a-service (RaaS). Il a déclaré avoir trouvé trois portes dérobées différentes ainsi que quatre cryptomineurs illégaux au cours de ses recherches.
Les charges utiles d’attaque découvertes par Gallagher et son équipe comprennent deux outils légitimes de surveillance et de gestion à distance, Atera Agent et Splashtop Streamer, réutilisés comme portes dérobées pour une utilisation malveillante ; la porte dérobée Sliver, qui est déjà vicieuse ; et plusieurs shells inversés basés sur PowerShell pour collecter des informations sur les périphériques et les sauvegardes. De plus, les cryptomineurs découverts étaient z0Minder, JavaX Miner, Jin et Mimu.
Sliver en particulier est parfois déployé avec les scripts de profilage Atera et PowerShell pour déployer Jin et Mimu, qui sont tous deux des variantes du botnet XMrig monero miner.
Il a été constaté que les attaquants utilisaient plusieurs approches différentes pour infecter les cibles, mais il peut être intéressant de noter que dans la plus grande vague d’attaques qui a commencé à la mi-janvier, les attaquants se sont éloignés de l’outil très populaire Cobalt Strike comme moyen de mise en scène et d’exécution. des charges utiles Cryptominer à l’exécution du script d’installation de Cryptominer directement à partir du composant Apache Tomcat du serveur cible VMware Horizon.
« Les découvertes de Sophos indiquent que plusieurs attaquants mettent en œuvre ces attaques, donc l’étape de protection la plus importante consiste à mettre à jour tous les appareils et applications contenant Log4J avec la version corrigée du logiciel. Cela inclut les versions corrigées de VMware Horizon si les organisations utilisent l’application sur leur réseau », a déclaré Gallagher.
« Log4J est installé dans des centaines de produits logiciels, et de nombreuses organisations peuvent ignorer les vulnérabilités qui se cachent dans leur infrastructure, en particulier dans les logiciels commerciaux, open source ou personnalisés qui ne fournissent pas de support de sécurité régulier.
« Et bien que les correctifs soient essentiels, ils ne suffisent pas si les attaquants ont déjà installé un shell Web ou une porte dérobée sur le réseau. Pour éviter d’être victime de telles attaques, une défense et une intervention approfondies dans la détection des mineurs et d’autres activités anormales sont cruciales », a-t-il déclaré.