Zephyrnet-logotyp

Log4Shell-sårbarhet riktad i VMware-servrar för att exfiltrera data

Datum:

CISA varnar för att hotaktörer ökar attacker mot oparpad Log4Shell-sårbarhet i VMware-servrar.

Cybersecurity and Infrastructure Security Agency (CISA) och Coast Guard Cyber ​​Command (CGCYBER) släppte en gemensam rådgivande varnar för att Log4Shell-felet missbrukas av hotaktörer som äventyrar VMware Horizon- och Unified Access Gateway-servrar (UAG) för allmänheten.

VMware Horizon är en plattform som används av administratörer för att köra och leverera virtuella skrivbord och appar i hybridmolnet, medan UAG ger säker åtkomst till resurserna som finns i ett nätverk.

Enligt CISA, i ett fall äventyrar APT-aktören offrets interna nätverk, skaffar ett katastrofåterställningsnätverk och extraherar känslig information. "Som en del av denna exploatering, implanterade misstänkta APT-aktörer skadlig programvara på komprometterade system med inbäddade körbara filer som möjliggör fjärrstyrning och fjärrkontroll (C2), tillade CISA.

Infosec Insiders nyhetsbrevLog4Shell är en sårbarhet för fjärrkörning av kod (RCE) som påverkar loggningsbiblioteket som kallas "Log4j" i Apache. Biblioteket används i stor utsträckning av olika organisationer, företag, applikationer och tjänster.

Attackanalys

CGCYBER genomför ett proaktivt engagemang för hotjakt i en organisation som äventyrades av de hotaktörer som utnyttjade Log4Shell i VMware Horizon. Detta avslöjade att motståndaren, efter att ha fått första tillgång till offrets system, laddade upp en skadlig kod identifierad som "hmsvc.exe".

Forskarna analyserade provet av skadlig programvara hmsvc.exe och bekräftade att processen maskerade sig som en legitim Windows-tjänst och en ändrad version av SysInternals LogonSessions-programvaran.

Enligt forskarexemplet av hmsvc.exe kördes skadlig programvara med den högsta behörighetsnivån på ett Windows-system och innehåller en inbäddad körbar fil som tillåter hotaktörer att logga tangenttryckningar, ladda upp och köra nyttolaster.

"Skadlig programvara kan fungera som en C2-tunnlingsproxy, vilket gör att en fjärroperatör kan pivotera till andra system och flytta vidare in i ett nätverk," Den initiala exekveringen av skadlig programvara skapade en schemalagd uppgift som är inställd att köras varje timme.

Enligt CISA i en annan incidentrespons på plats observerade de dubbelriktad trafik mellan offret och den misstänkta APT IP-adressen.

Angriparna får initialt tillgång till offrets produktionsmiljö (en uppsättning datorer där den användarförberedda programvaran eller uppdateringen är utplacerad), genom att utnyttja Log4Shell i oparpade VMware Horizon-servrar. Senare observerade CISA att motståndaren använder Powershell-skript för att utföra laterala rörelser, hämta och köra skadlig programvara för laddaren med förmågan att fjärrövervaka ett system, få omvänt skal och exfiltrera känslig information.

Ytterligare analys visade att angripare med tillgång till organisationens test- och produktionsmiljö utnyttjade CVE-2022-22954, ett RCE-fel i VMware workspace ONE access and Identity Manager. att implantera Dingo J-spy webbskal,

Incidentrespons och begränsningar

CISA och CGCYBER rekommenderade flera åtgärder som bör vidtas om en administratör upptäcker komprometterade system:

  1. Isolera komprometterat system
  2. Analysera relevant logg, data och artefakter.
  3. All programvara bör uppdateras och korrigeras från .
  4. Minska den icke-nödvändiga, offentliga värdtjänsten för att begränsa attackytan och implementera DMZ, strikt nätverksåtkomstkontroll och WAF för att skydda mot attacker.
  5. Organisationer rekommenderas att implementera bästa praxis för identitets- och åtkomsthantering (IAM) genom att införa multifaktorautentisering (MFA), genomdriva starka lösenord och begränsad användaråtkomst.
plats_img

Senaste intelligens

plats_img