Tin tặc Trung Quốc nhắm mục tiêu Máy chủ VMware Horizon với Log4Shell để triển khai Rootkit

Một mối đe dọa dai dẳng nâng cao của Trung Quốc được theo dõi là Deep Panda đã được quan sát khai thác lỗ hổng Log4Shell trong máy chủ VMware Horizon để triển khai một cửa hậu và một bộ rootkit mới trên các máy bị nhiễm với mục tiêu đánh cắp dữ liệu nhạy cảm.

Rotem Sde-Or và Eliran Voronovitch, các nhà nghiên cứu tại FortiGuard Labs của Fortinet, cho biết: “Bản chất của việc nhắm mục tiêu là cơ hội trong trường hợp bội nhiễm ở một số quốc gia và nhiều lĩnh vực khác nhau xảy ra vào cùng ngày”. “Các nạn nhân thuộc các ngành tài chính, học thuật, mỹ phẩm và du lịch.”

Deep Panda, còn được biết đến với biệt danh Shell Crew, KungFu Kittens và Bronze Firestone, được cho là đã hoạt động ít nhất từ ​​năm 2010, với các cuộc tấn công gần đây “nhắm vào các công ty hợp pháp để lấy cắp dữ liệu và các nhà cung cấp công nghệ để xây dựng cơ sở hạ tầng chỉ huy và kiểm soát , “theo Secureworks.

Công ty CrowdStrike, công ty đã đặt tên theo chủ đề gấu trúc cho nhóm vào tháng 7 năm 2014, đã gọi nó là “một trong những nhóm xâm nhập mạng quốc gia-nhà nước Trung Quốc tiên tiến nhất.”

Tập hợp các cuộc tấn công mới nhất được ghi lại bởi Fortinet cho thấy quy trình lây nhiễm liên quan đến việc khai thác lỗ hổng Log4j (còn gọi là Log4Shell) trong các máy chủ VMware Horizon dễ bị tấn công để tạo ra một chuỗi các giai đoạn trung gian, cuối cùng dẫn đến việc triển khai một cửa sau có tên là Milestone (“1.dll”).

Xem tiếp:   Tin tặc khai thác thiết bị Android bị nhiễm bệnh để đăng ký tài khoản dùng một lần

Dựa trên mã nguồn bị rò rỉ của Gh0st RAT khét tiếng nhưng với sự khác biệt đáng chú ý trong cơ chế giao tiếp lệnh và điều khiển (C2) được sử dụng, Milestone cũng được thiết kế để gửi thông tin về các phiên hiện tại trên hệ thống tới máy chủ từ xa.

Cũng được phát hiện trong các cuộc tấn công là một rootkit nhân có tên “Fire Chili” được ký điện tử với các chứng chỉ bị đánh cắp từ các công ty phát triển trò chơi, cho phép nó tránh bị phần mềm bảo mật phát hiện và che giấu các hoạt động, quy trình tệp độc hại, bổ sung khóa đăng ký và kết nối mạng.

Điều này đạt được nhờ các lệnh gọi hệ thống ioctl (điều khiển đầu vào / đầu ra) để ẩn khóa đăng ký rootkit của trình điều khiển, các tệp cửa hậu Milestone cũng như tệp trình tải và quy trình được sử dụng để khởi chạy bộ cấy.

Sự quy kết của Fortinet đối với Deep Panda bắt nguồn từ sự trùng lặp giữa Milestone và Infoadmin RAT, một trojan truy cập từ xa được sử dụng bởi nhóm tinh vi vào đầu những năm 2010, với các manh mối bổ sung chỉ ra những điểm tương đồng về chiến thuật với nhóm Winnti.

Điều này được hỗ trợ bởi việc sử dụng chữ ký số bị xâm phạm của các công ty trò chơi, một mục tiêu được lựa chọn cho Winnti, cũng như miền C2 (gnisoft[.]com), trước đó đã được liên kết với diễn viên được nhà nước Trung Quốc bảo trợ kể từ tháng 5 năm 2020.

Xem tiếp:   Cảnh báo - Deadbolt Ransomware Nhắm mục tiêu Thiết bị NAS ASUSTOR

Các nhà nghiên cứu cho biết: “Lý do mà những công cụ này được liên kết với hai nhóm khác nhau tại thời điểm này vẫn chưa rõ ràng. “Có thể các nhà phát triển của nhóm đã chia sẻ tài nguyên, chẳng hạn như chứng chỉ bị đánh cắp và cơ sở hạ tầng C2, với nhau. Điều này có thể giải thích tại sao các mẫu chỉ được ký vài giờ sau khi được biên dịch.”

Việc tiết lộ thêm vào một danh sách dài các nhóm hack đã vũ khí hóa lỗ hổng Log4Shell để tấn công nền tảng ảo hóa của VMware.

Vào tháng 12 năm 2021, CrowdStrike mô tả một chiến dịch không thành công do đối thủ có tên là Aquatic Panda thực hiện đã tận dụng lỗ hổng để thực hiện các hoạt động hậu khai thác khác nhau, bao gồm cả do thám và thu thập thông tin xác thực trên các hệ thống được nhắm mục tiêu.

Kể từ đó, nhiều nhóm đã tham gia vào cuộc xung đột, bao gồm cả nhóm TunnelVision của Iran, được quan sát là đang tích cực khai thác lỗi thư viện ghi nhật ký Log4j để xâm nhập các máy chủ VMware Horizon chưa được vá bằng ransomware.

Gần đây nhất, công ty an ninh mạng Sophos đã nêu bật một loạt các cuộc tấn công nhằm vào các máy chủ Horizon dễ bị tấn công đã diễn ra từ tháng 1 và đã được các kẻ đe dọa gắn kết để khai thác bất hợp pháp tiền điện tử, cài đặt các shell ngược dựa trên PowerShell hoặc triển khai các tác nhân Atera để cung cấp các tải trọng bổ sung từ xa .

Xem tiếp:   Các nhà nghiên cứu Chi tiết cách Tin tặc Pakistan nhắm mục tiêu vào Chính phủ Ấn Độ và Afghanistan

Các nhà nghiên cứu của Sophos cho biết: “Các nỗ lực để xâm phạm máy chủ Horizon là một trong những cách khai thác có mục tiêu nhiều hơn đối với các lỗ hổng Log4Shell vì bản chất của chúng,” các nhà nghiên cứu của Sophos cho biết, đồng thời cho biết thêm “các nền tảng như Horizon là mục tiêu đặc biệt hấp dẫn đối với tất cả các loại tác nhân độc hại vì chúng phổ biến và có thể (nếu vẫn dễ bị tổn thương) dễ dàng tìm thấy và khai thác bằng các công cụ đã được kiểm tra kỹ lưỡng. “

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …