CISA advarer om, at trusselsaktører øger angreb mod upatchet Log4Shell-sårbarhed i VMware-servere.
Cybersecurity and Infrastructure Security Agency (CISA) og Coast Guard Cyber Command (CGCYBER) udgav en fælles rådgivende advarer om, at Log4Shell-fejlen bliver misbrugt af trusselsaktører, der kompromitterer offentligt vendte VMware Horizon- og Unified Access Gateway-servere (UAG).
VMware Horizon er en platform, der bruges af administratorer til at køre og levere virtuelle desktops og apps i hybridskyen, mens UAG giver sikker adgang til de ressourcer, der findes i et netværk.
Ifølge CISA kompromitterer APT-aktøren i ét tilfælde ofrets interne netværk, anskaffer et katastrofegendannelsesnetværk og udtrækker følsomme oplysninger. "Som en del af denne udnyttelse implanterede mistænkte APT-aktører loader-malware på kompromitterede systemer med indlejrede eksekverbare filer, der muliggjorde fjernkommando og -kontrol (C2)," tilføjede CISA.
Log4Shell er en RCE-sårbarhed (Remote Code Execution), der påvirker logbiblioteket kendt som "Log4j" i Apache. Biblioteket er meget brugt af forskellige organisationer, virksomheder, applikationer og tjenester.
Angrebsanalyse
CGCYBER udfører en proaktiv trusselsjagtengagement i en organisation, der blev kompromitteret af trusselsaktører, der udnyttede Log4Shell i VMware Horizon. Dette afslørede, at efter at have fået første adgang til offersystemet, uploadede modstanderen en malware identificeret som "hmsvc.exe".
Forskerne analyserede prøven af hmsvc.exe-malwaren og bekræftede, at processen forklædte sig som en legitim Windows-tjeneste og en ændret version af SysInternals LogonSessions-softwaren.
Ifølge forskerprøven af hmsvc.exe kørte malware med det højeste privilegieniveau på et Windows-system og indeholder en indlejret eksekverbar, der tillader trusselsaktører at logge tastetryk, uploade og udføre nyttelaster.
"Malwaren kan fungere som en C2-tunneling-proxy, der giver en fjernoperatør mulighed for at pivotere til andre systemer og bevæge sig længere ind i et netværk," Den indledende udførelse af malware skabte en planlagt opgave, der er indstillet til at udføre hver time.
Ifølge CISA i en anden hændelsesaktion på stedet observerede de tovejstrafik mellem offeret og den formodede APT IP-adresse.
Angriberne får i første omgang adgang til ofrets produktionsmiljø (et sæt computere, hvor den brugerklare software eller opdatering er installeret) ved at udnytte Log4Shell i upatchede VMware Horizon-servere. Senere observerede CISA, at modstanderen bruger Powershell-scripts til at udføre laterale bevægelser, hente og eksekvere loader-malwaren med evnen til at fjernovervåge et system, få omvendt shell og eksfiltrere følsomme oplysninger.
Yderligere analyse afslørede, at angribere med adgang til organisationens test- og produktionsmiljø udnyttede CVE-2022-22954, en RCE-fejl i VMware workspace ONE-adgang og Identity Manager. at implantere Dingo J-spy web-skallen,
Hændelsesbekæmpelse og afhjælpning
CISA og CGCYBER anbefalede flere handlinger, der bør udføres, hvis en administrator opdager kompromitterede systemer:
- Isoler kompromitteret system
- Analyser den relevante log, data og artefakter.
- Al software skal opdateres og patches fra .
- Reducer den ikke-essentielle offentlig-vendte hostingtjeneste for at begrænse angrebsoverfladen og implementer DMZ, streng netværksadgangskontrol og WAF for at beskytte mod angreb.
- Organisationer rådes til at implementere bedste praksis for identitets- og adgangsstyring (IAM) ved at indføre multifaktorautentificering (MFA), håndhæve stærke adgangskoder og begrænset brugeradgang.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- VPN
- Sårbarheder
- website sikkerhed
- zephyrnet
