Los piratas informáticos alineados con el gobierno de Irán están explotando la vulnerabilidad crítica Log4j para infectar a los usuarios de VMware sin parches con ransomware, dijeron investigadores el jueves.
La firma de seguridad SentinelOne ha denominado al grupo TunnelVision. El nombre pretende enfatizar la fuerte dependencia de TunnelVision en las herramientas de tunelización y la forma única en que las implementa. En el pasado, TunnelVision ha explotado las denominadas vulnerabilidades de 1 día, es decir, vulnerabilidades que se han parcheado recientemente, para piratear organizaciones que aún no han instalado la solución. Las vulnerabilidades en Fortinet FortiOS (CVE-2018-13379) y Microsoft Exchange (ProxyShell) son dos de los objetivos más conocidos del grupo.
Introduzca Log4Shell
Recientemente, informó SentinelOne, TunnelVision comenzó a explotar una vulnerabilidad crítica en Log4j, una utilidad de registro de código abierto que está integrada en miles de aplicaciones. CVE-2021-44228 (o Log4Shell, ya que la vulnerabilidad es rastreada o apodada) permite a los atacantes obtener fácilmente el control remoto de las computadoras que ejecutan aplicaciones en el lenguaje de programación Java. El bicho picó al Los jugadores más importantes de Internet y fue ampliamente apuntado en la naturaleza después de que se dio a conocer.
La investigación de SentinelOne muestra que la orientación continúa y que esta vez el objetivo son las organizaciones que ejecutan VMware Horizon, un producto de virtualización de aplicaciones y escritorios que se ejecuta en Windows, macOS y Linux.
“Los atacantes de TunnelVision han estado explotando activamente la vulnerabilidad para ejecutar comandos maliciosos de PowerShell, implementar puertas traseras, crear usuarios de puertas traseras, recolectar credenciales y realizar movimientos laterales”, los investigadores de la compañía Amitai Ben Shushan Ehrlich y Yair Rigevsky. escribió en una publicación. “Por lo general, el actor de amenazas inicialmente explota la vulnerabilidad Log4j para ejecutar comandos de PowerShell directamente y luego ejecuta comandos adicionales por medio de shells inversos de PS, ejecutados a través del proceso Tomcat”.
Apache Tomcat es un servidor web de código abierto que VMware y otro software empresarial utilizan para implementar y servir aplicaciones web basadas en Java. Una vez instalado, un shell permite a los piratas informáticos ejecutar de forma remota los comandos de su elección en las redes explotadas. El PowerShell utilizado aquí parece ser una variante de esta uno disponible públicamente. Una vez instalado, los miembros de TunnelVision lo utilizan para:
- Ejecutar comandos de reconocimiento
- Cree un usuario de puerta trasera y agréguelo al grupo de administradores de red
- Recopile credenciales mediante ProcDump, Hive Dump de SAM y comsvcs MiniDump
- Descargue y ejecute herramientas de tunelización, incluidas Plink y Ngrok, que se utilizan para canalizar el tráfico del protocolo de escritorio remoto.
Los piratas informáticos utilizan múltiples servicios legítimos para lograr y ocultar sus actividades. Esos servicios incluyen:
- transferir.sh
- pastebin.com
- webhook.sitio
- ufile.io
- raw.githubusercontent.com
Las personas que intentan determinar si su organización se ve afectada deben buscar conexiones salientes inexplicables a estos servicios públicos legítimos.
Túneles, minerales y gatitos.
El informe del jueves decía que TunnelVision se superpone con varios grupos de amenazas expuestos por otros investigadores a lo largo de los años. Microsoft ha denominado a un grupo Phosphorous. El grupo, ha informado Microsoft, ha intentado piratear una campaña presidencial de EE. UU. y para instalar ransomware en un intento de generar ingresos o interrumpir a los adversarios. El gobierno federal también ha dicho que los piratas informáticos iraníes habían sido apuntando a la infraestructura crítica en los EE. UU. con ransomware.
SentinelOne dijo que TunnelVision también se superpone con dos grupos de amenazas que la firma de seguridad CrowdStrike rastrea como Charming Kitten y Nemesis Kitten.
“Hacemos un seguimiento de este grupo por separado bajo el nombre de ‘TunnelVision’”, escribieron los investigadores de SentinelOne. “Esto no implica que creamos que no necesariamente están relacionados, solo que actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones antes mencionadas”.
La publicación proporciona una lista de indicadores que los administradores pueden usar para determinar si se han visto comprometidos.