Cơ quan An ninh mạng và An ninh Cơ sở hạ tầng (CISA) và Bộ Tư lệnh Không gian mạng của Cảnh sát biển (CGCYBER) đã phát hành một cố vấn chung cảnh báo lỗ hổng Log4Shell đang bị lạm dụng bởi các tác nhân đe dọa đang xâm nhập các máy chủ VMware Horizon và Unified Access Gateway (UAG) công khai.

VMware Horizon là một nền tảng được quản trị viên sử dụng để chạy và cung cấp các ứng dụng và máy tính để bàn ảo trong đám mây lai, trong khi UAG cung cấp quyền truy cập an toàn vào các tài nguyên nằm trong mạng.

Theo CISA, trong một ví dụ, tác nhân đe dọa liên tục trước (APT) xâm phạm mạng nội bộ của nạn nhân, mua sắm mạng khôi phục thảm họa và trích xuất thông tin nhạy cảm. “Là một phần của hoạt động khai thác này, các tác nhân APT bị nghi ngờ đã cấy phần mềm độc hại của trình tải lên các hệ thống bị xâm nhập với các tệp thực thi được nhúng cho phép ra lệnh và điều khiển từ xa (C2),” CISA nói thêm.

Nhật ký4Shell là một lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến thư viện ghi nhật ký được gọi là “Log4j” trong Apache. Thư viện được sử dụng rộng rãi bởi các tổ chức, doanh nghiệp, ứng dụng và dịch vụ khác nhau.

Phân tích cuộc tấn công

CGCYBER tiến hành một cuộc tham gia săn lùng mối đe dọa chủ động tại một tổ chức đã bị xâm phạm bởi các tác nhân đe dọa đã khai thác Log4Shell trong VMware Horizon. Điều này tiết lộ rằng sau khi giành được quyền truy cập ban đầu vào hệ thống nạn nhân, kẻ thù đã tải lên một phần mềm độc hại được xác định là “hmsvc.exe”.

Các nhà nghiên cứu đã phân tích mẫu phần mềm độc hại hmsvc.exe và xác nhận rằng quá trình này giả mạo là một dịch vụ Windows hợp pháp và một phiên bản đã thay đổi của phần mềm SysInternals LogonSessions.

Theo mẫu của nhà nghiên cứu, phần mềm độc hại hmsvc.exe đang chạy với mức đặc quyền cao nhất trên hệ thống Windows và chứa tệp thực thi được nhúng cho phép các tác nhân đe dọa ghi lại các lần nhấn phím, tải lên và thực thi tải trọng.

“Phần mềm độc hại có thể hoạt động như một proxy đường hầm C2, cho phép người điều khiển từ xa xoay trục đến các hệ thống khác và di chuyển xa hơn vào mạng”, quá trình thực thi ban đầu của phần mềm độc hại đã tạo ra một nhiệm vụ theo lịch trình được thiết lập để thực thi mỗi giờ.

Theo CISA trong một cuộc tham gia ứng phó sự cố tại chỗ khác, họ đã quan sát thấy lưu lượng truy cập hai chiều giữa nạn nhân và địa chỉ IP APT bị nghi ngờ.

Những kẻ tấn công ban đầu có quyền truy cập vào môi trường sản xuất của nạn nhân (một tập hợp các máy tính nơi phần mềm hoặc bản cập nhật sẵn sàng cho người dùng được triển khai), bằng cách khai thác Log4Shell trong các máy chủ VMware Horizon chưa được vá. Sau đó, CISA đã quan sát thấy rằng đối thủ sử dụng các tập lệnh Powershell để thực hiện các chuyển động bên, truy xuất và thực thi phần mềm độc hại của trình tải với khả năng giám sát từ xa hệ thống, lấy ngược trình bao và lọc thông tin nhạy cảm.

Phân tích sâu hơn cho thấy rằng những kẻ tấn công có quyền truy cập vào thử nghiệm tổ chức và môi trường sản xuất đã tận dụng CVE-2022-22954, một lỗ hổng RCE trong không gian làm việc VMware ONE quyền truy cập và trình quản lý danh tính. để cấy ghép vỏ web gián điệp Dingo J,

Ứng phó và Giảm nhẹ Sự cố

CISA và CGCYBER đã khuyến nghị nhiều hành động nên được thực hiện nếu quản trị viên phát hiện ra các hệ thống bị xâm phạm:

1. Cô lập hệ thống bị xâm phạm
2. Phân tích nhật ký, dữ liệu và hiện vật có liên quan.
3. Tất cả phần mềm phải được cập nhật và vá lỗi từ.
4. Giảm bớt dịch vụ lưu trữ công khai không cần thiết để hạn chế bề mặt tấn công và thực hiện DMZ, kiểm soát truy cập mạng nghiêm ngặt và WAF để bảo vệ khỏi bị tấn công.
5. Các tổ chức được khuyên nên triển khai các phương pháp hay nhất để quản lý danh tính và truy cập (IAM) bằng cách giới thiệu xác thực đa yếu tố (MFA), thực thi mật khẩu mạnh và quyền truy cập hạn chế của người dùng.