Một “kẻ có khả năng phá hoại” liên kết với chính phủ Iran đang tích cực khai thác lỗ hổng Log4j nổi tiếng để lây nhiễm ransomware cho các máy chủ VMware Horizon chưa được vá.
Công ty bảo mật mạng SentinelOne mệnh danh là nhóm “Tầm nhìn đường hầm“do họ phụ thuộc nhiều vào các công cụ đào hầm, với sự trùng lặp trong các chiến thuật được quan sát đối với chiến thuật của một nhóm rộng hơn được theo dõi dưới biệt danh Phosphorus cũng như Charming Kitten và Nemesis Kitten.
Các nhà nghiên cứu của SentinelOne, Amitai Ben Shushan Ehrlich và Yair Rigevsky, cho biết trong một báo cáo: “Các hoạt động của TunnelVision được đặc trưng bởi việc khai thác rộng rãi các lỗ hổng trong 1 ngày ở các khu vực mục tiêu.
Cũng được quan sát thấy cùng với Log4Shell là việc khai thác lỗ hổng truyền qua đường dẫn Fortinet FortiOS (CVE-2018-13379) và lỗ hổng Microsoft Exchange ProxyShell để có được quyền truy cập ban đầu vào các mạng mục tiêu để khai thác sau.
Các nhà nghiên cứu cho biết: “Những kẻ tấn công TunnelVision đã tích cực khai thác lỗ hổng để chạy các lệnh PowerShell độc hại, triển khai cửa sau, tạo người dùng cửa sau, thu thập thông tin đăng nhập và thực hiện chuyển động bên”.
Các lệnh PowerShell được sử dụng như một bệ khởi động để tải xuống các công cụ như Ngrok và chạy các lệnh khác bằng các trình bao ngược được sử dụng để thả một cửa hậu PowerShell có khả năng thu thập thông tin xác thực và thực hiện các lệnh do thám.
SentinelOne cũng cho biết họ đã xác định được những điểm tương đồng trong cơ chế được sử dụng để thực thi web shell ngược với một thiết bị cấy ghép dựa trên PowerShell khác có tên PowerLess đã được các nhà nghiên cứu Cybereason tiết lộ vào đầu tháng này.
Trong suốt quá trình hoạt động, kẻ đe dọa được cho là đã sử dụng một kho lưu trữ github được gọi là “VmWareHorizon” dưới tên người dùng “protection20” để lưu trữ các tải trọng độc hại.
Công ty an ninh mạng cho biết họ liên kết các cuộc tấn công với một nhóm Iran riêng biệt không phải vì chúng không liên quan mà là do “hiện tại không có đủ dữ liệu để coi chúng giống với bất kỳ quy tắc nào đã nói ở trên.”
.
