Een “potentieel destructieve actor” die in lijn is met de regering van Iran, exploiteert actief de bekende Log4j-kwetsbaarheid om ongepatchte VMware Horizon-servers te infecteren met ransomware.
Cybersecuritybedrijf SentinelOne noemde de groep “Tunnelvisie” vanwege hun grote afhankelijkheid van tunneltools, met overlappingen in de waargenomen tactieken met die van een bredere groep die onder de naam wordt gevolgd Fosfor evenals Charming Kitten en Nemesis Kitten.
"TunnelVision-activiteiten worden gekenmerkt door wijdverbreide exploitatie van 1-daagse kwetsbaarheden in doelregio's", SentinelOne-onderzoekers Amitai Ben Shushan Ehrlich en Yair Rigevsky zei in een rapport, met de inbraken gedetecteerd in het Midden-Oosten en de VS
Naast Log4Shell is ook de exploitatie van Fortinet FortiOS path traversal-fout (CVE-2018-13379) en de Microsoft Exchange ProxyShell kwetsbaarheid om initiële toegang te krijgen tot de doelnetwerken voor post-exploitatie.
"TunnelVision-aanvallers hebben actief misbruik gemaakt van de kwetsbaarheid om kwaadaardige PowerShell-commando's uit te voeren, backdoors in te zetten, backdoor-gebruikers te creëren, referenties te verzamelen en zijwaartse bewegingen uit te voeren", aldus de onderzoekers.
De PowerShell-opdrachten worden gebruikt als startpunt om tools zoals Ngrok te downloaden en andere opdrachten uit te voeren door middel van omgekeerde shells die worden gebruikt om een PowerShell-backdoor te verwijderen die in staat is om referenties te verzamelen en verkenningsopdrachten uit te voeren.
SentinelOne zei ook dat het overeenkomsten identificeerde in het mechanisme dat wordt gebruikt om de omgekeerde webshell uit te voeren met een ander op PowerShell gebaseerd implantaat genaamd Machteloos dat werd eerder deze maand onthuld door Cybereason-onderzoekers.
Tijdens de hele activiteit zou de dreigingsactor een GitHub-repository hebben gebruikt die bekend staat als "VmWareHorizon" onder de gebruikersnaam "protections20" om de kwaadaardige payloads te hosten.
Het cyberbeveiligingsbedrijf zei dat het de aanvallen associeerde met een afzonderlijk Iraans cluster, niet omdat ze niets met elkaar te maken hebben, maar vanwege het feit dat "er momenteel onvoldoende gegevens zijn om ze als identiek aan een van de bovengenoemde toeschrijvingen te behandelen."
