Log4Shell vẫn bị khai thác để tấn công máy chủ VMWare nhằm lọc dữ liệu nhạy cảm

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA), cùng với Bộ Tư lệnh Không gian mạng Cảnh sát biển (CGCYBER), hôm thứ Năm đã đưa ra một cảnh báo cố vấn chung về những nỗ lực tiếp tục của một phần các tác nhân đe dọa nhằm khai thác lỗ hổng trong máy chủ để xâm phạm mục tiêu mạng lưới.

“Kể từ tháng 12 năm 2021, nhiều nhóm tác nhân đe dọa đã khai thác Log4Shell trên VMware Horizon chưa được vá, công khai và [Unified Access Gateway] “Các cơ quan cho biết. Là một phần của hoạt động khai thác này, các phần tử APT bị nghi ngờ đã cấy phần mềm độc hại vào bộ tải trên các hệ thống bị xâm nhập với các tệp được nhúng cho phép ra lệnh và điều khiển từ xa (C2).”

Trong một trường hợp, kẻ thù được cho là đã có thể di chuyển theo chiều bên trong mạng nạn nhân, có quyền truy cập vào mạng khôi phục thảm họa và thu thập và trích xuất dữ liệu thực thi pháp luật nhạy cảm.

Log4Shell, được theo dõi là CVE-2021-44228 (điểm CVSS: 10.0), là một lỗ hổng thực thi mã từ xa ảnh hưởng đến thư viện ghi nhật ký Apache Log4j được nhiều người tiêu dùng và các dịch vụ doanh nghiệp, trang web, ứng dụng và các sản phẩm khác sử dụng.

Việc khai thác thành công lỗ hổng này có thể cho phép kẻ tấn công gửi một lệnh được chế tạo đặc biệt tới một hệ thống bị ảnh hưởng, cho phép các tác nhân thực thi mã độc và chiếm quyền kiểm soát mục tiêu.

Xem tiếp:   FBI, Bộ Tài chính Hoa Kỳ và CISA Cảnh báo về việc tin tặc Triều Tiên nhắm mục tiêu vào các công ty chuỗi khối

Dựa trên thông tin thu thập được như một phần của hai cam kết ứng phó sự cố, các cơ quan cho biết rằng những kẻ tấn công đã vũ khí hóa việc khai thác để thả các tải trọng giả mạo, bao gồm các tập lệnh PowerShell và một công cụ truy cập từ xa có tên “hmsvc.exe” được trang bị khả năng ghi lại các lần nhấn phím và triển khai bổ sung phần mềm độc hại.

“Phần mềm độc hại có thể hoạt động như một proxy đường hầm C2, cho phép người điều hành từ xa xoay trục đến các hệ thống khác và di chuyển xa hơn vào mạng”, các cơ quan lưu ý và cho biết thêm nó cũng cung cấp “quyền truy cập giao diện người dùng đồ họa (GUI) trên hệ thống Windows mục tiêu máy tính để bàn. “

Các tập lệnh PowerShell, được quan sát trong môi trường sản xuất của một tổ chức thứ hai, tạo điều kiện thuận lợi cho việc di chuyển bên, cho phép các tác nhân APT cấy phần mềm độc hại của trình tải có chứa các tệp thực thi bao gồm khả năng giám sát từ xa màn hình của hệ thống, giành quyền truy cập trình bao ngược, lọc dữ liệu và tải lên và thực thi mã nhị phân giai đoạn tiếp theo.

Hơn nữa, tập thể đối thủ đã tận dụng CVE-2022-22954, một lỗ hổng thực thi mã từ xa trong VMware Workspace ONE Access and Identity Manager được đưa ra ánh sáng vào tháng 4 năm 2022, để cấy ghép web shell Dingo J-spy.

Xem tiếp:   Khung bảo mật mạng NIST: Hướng dẫn nhanh về tuân thủ bảo mật SaaS

Hoạt động liên quan đến Log4Shell đang diễn ra ngay cả sau hơn sáu tháng cho thấy lỗ hổng này được những kẻ tấn công quan tâm nhiều, bao gồm cả những kẻ tấn công liên tục nâng cao (APT) do nhà nước tài trợ, những kẻ đã nhắm mục tiêu cơ hội vào các máy chủ chưa được vá để có được chỗ đứng ban đầu cho hoạt động tiếp theo .

Theo công ty an ninh mạng ExtraHop, các lỗ hổng Log4j đã phải chịu những nỗ lực quét không ngừng, với các lĩnh vực tài chính và chăm sóc sức khỏe đang nổi lên như một thị trường quá rộng cho các cuộc tấn công tiềm ẩn.

“Log4j ở đây để tồn tại, chúng ta sẽ thấy những kẻ tấn công tận dụng nó nhiều lần”, Randori thuộc sở hữu của IBM cho biết trong một báo cáo tháng 4 năm 2022. “Log4j được chôn sâu vào các lớp và các lớp mã của bên thứ ba được chia sẻ, dẫn đến kết luận rằng chúng tôi sẽ thấy các trường hợp lỗ hổng Log4j được khai thác trong các dịch vụ được sử dụng bởi các tổ chức sử dụng nhiều mã nguồn mở.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …