Log4Shell-Schwachstelle, die auf VMware-Server abzielt, um Daten zu exfiltrieren

Die Cybersecurity and Infrastructure Security Agency (CISA) und das Coast Guard Cyber ​​Command (CGCYBER) haben a gemeinsame Beratung Warnung: Der Log4Shell-Fehler wird von Bedrohungsakteuren missbraucht, die öffentlich zugängliche VMware Horizon- und Unified Access Gateway (UAG)-Server kompromittieren.

VMware Horizon ist eine Plattform, die von Administratoren zum Ausführen und Bereitstellen virtueller Desktops und Apps in der Hybrid Cloud verwendet wird, während UAG sicheren Zugriff auf die Ressourcen in einem Netzwerk bietet.

Laut CISA kompromittiert der Advanced Persistent Threat (APT)-Akteur in einem Fall das interne Netzwerk des Opfers, beschafft ein Disaster-Recovery-Netzwerk und extrahiert vertrauliche Informationen. „Als Teil dieser Ausnutzung haben mutmaßliche APT-Akteure Loader-Malware auf kompromittierten Systemen mit eingebetteten ausführbaren Dateien implantiert, die Remote Command and Control (C2) ermöglichen“, fügte CISA hinzu.

Log4Shell ist eine RCE-Schwachstelle (Remote Code Execution), die die als „Log4j“ bekannte Protokollierungsbibliothek in Apache betrifft. Die Bibliothek wird häufig von verschiedenen Organisationen, Unternehmen, Anwendungen und Diensten verwendet.

Angriffsanalyse

Der CGCYBER führt eine proaktive Bedrohungssuche bei einer Organisation durch, die von den Bedrohungsakteuren kompromittiert wurde, die Log4Shell in VMware Horizon ausgenutzt haben. Dabei zeigte sich, dass der Angreifer nach dem ersten Zugriff auf das System des Opfers eine als „hmsvc.exe“ identifizierte Malware hochgeladen hatte.

Die Forscher analysierten die Probe der Malware hmsvc.exe und bestätigten, dass sich der Prozess als legitimer Windows-Dienst und eine veränderte Version der SysInternals LogonSessions-Software tarnt.

Dem Forscher zufolge lief die Malware hmsvc.exe mit der höchsten Berechtigungsstufe auf einem Windows-System und enthält eine eingebettete ausführbare Datei, die es Angreifern ermöglicht, Tastenanschläge zu protokollieren, Payloads hochzuladen und auszuführen.

„Die Malware kann als C2-Tunneling-Proxy fungieren und es einem Remote-Operator ermöglichen, zu anderen Systemen zu wechseln und sich weiter in ein Netzwerk zu bewegen.“ Die anfängliche Ausführung von Malware erstellte eine geplante Aufgabe, die stündlich ausgeführt werden soll.

Laut CISA wurde bei einem anderen Einsatz zur Reaktion auf Vorfälle vor Ort bidirektionaler Datenverkehr zwischen dem Opfer und der mutmaßlichen APT-IP-Adresse beobachtet.

Die Angreifer verschaffen sich zunächst Zugriff auf die Produktionsumgebung des Opfers (eine Reihe von Computern, auf denen die benutzerfertige Software oder das Update bereitgestellt werden), indem sie Log4Shell in nicht gepatchten VMware Horizon-Servern ausnutzen. Später beobachtete CISA, dass der Angreifer Powershell-Skripte verwendet, um seitliche Bewegungen auszuführen, die Loader-Malware abzurufen und auszuführen, mit der Fähigkeit, ein System aus der Ferne zu überwachen, Reverse-Shell zu erhalten und vertrauliche Informationen zu exfiltrieren.

Weitere Analysen ergaben, dass Angreifer mit Zugriff auf die Test- und Produktionsumgebung der Organisation ausgenutzt wurden CVE-2022-22954, ein RCE-Fehler in VMware Workspace ONE Access und Identity Manager. um die Dingo J-spy Web-Shell zu implantieren,

Reaktion auf Vorfälle und Minderung

CISA und CGCYBER empfahlen mehrere Maßnahmen, die ergriffen werden sollten, wenn ein Administrator kompromittierte Systeme entdeckt:

1. Kompromittiertes System isolieren
2. Analysieren Sie das relevante Protokoll, die Daten und Artefakte.
3. Die gesamte Software sollte von der aktualisiert und gepatcht werden.
4. Reduzieren Sie den nicht wesentlichen öffentlich zugänglichen Hosting-Service, um die Angriffsfläche einzuschränken, und implementieren Sie DMZ, strenge Netzwerkzugriffskontrolle und WAF zum Schutz vor Angriffen.
5. Organisationen wird empfohlen, Best Practices für das Identitäts- und Zugriffsmanagement (IAM) zu implementieren, indem sie Multifaktor-Authentifizierung (MFA) einführen, starke Kennwörter durchsetzen und den Benutzerzugriff einschränken.