CISA هشدار می دهد که عوامل تهدید حملات را علیه آسیب پذیری Log4Shell اصلاح نشده در سرورهای VMware افزایش می دهند.
آژانس امنیت سایبری و امنیت زیرساخت (CISA) و فرماندهی سایبری گارد ساحلی (CGCYBER) گزارشی منتشر کردند. مشاوره مشترک هشدار می دهد که نقص Log4Shell توسط عوامل تهدید مورد سوء استفاده قرار می گیرد که سرورهای VMware Horizon و Unified Access Gateway (UAG) را در معرض خطر قرار می دهند.
VMware Horizon پلتفرمی است که توسط مدیران برای اجرا و ارائه دسکتاپها و برنامههای مجازی در فضای ابری ترکیبی استفاده میشود، در حالی که UAG دسترسی ایمن به منابع موجود در یک شبکه را فراهم میکند.
بر اساس CISA، در یک نمونه، عامل تهدید مداوم (APT) شبکه داخلی قربانی را به خطر می اندازد، یک شبکه بازیابی فاجعه را تهیه می کند و اطلاعات حساس را استخراج می کند. CISA افزود: "به عنوان بخشی از این بهره برداری، بازیگران مشکوک APT بدافزار لودر را بر روی سیستم های در معرض خطر با فایل های اجرایی تعبیه شده که فرمان و کنترل از راه دور (C2) را قادر می سازد، کاشته کردند."
Log4Shell یک آسیبپذیری اجرای کد از راه دور (RCE) است که بر کتابخانه ورود به سیستم به نام «Log4j» در آپاچی تأثیر میگذارد. این کتابخانه به طور گسترده توسط سازمان ها، شرکت ها، برنامه ها و خدمات مختلف استفاده می شود.
تجزیه و تحلیل حمله
CGCYBER یک تعامل پیشگیرانه برای شکار تهدید در سازمانی انجام می دهد که توسط عوامل تهدید که از Log4Shell در VMware Horizon سوء استفاده کردند، در معرض خطر قرار گرفت. این نشان داد که پس از دسترسی اولیه به سیستم قربانی، دشمن یک بدافزار با نام "hmsvc.exe" را آپلود کرد.
محققان نمونه بدافزار hmsvc.exe را تجزیه و تحلیل کردند و تأیید کردند که این فرآیند به عنوان یک سرویس ویندوز قانونی و نسخه تغییر یافته نرم افزار SysInternals LogonSessions ظاهر می شود.
به گفته محقق نمونه بدافزار hmsvc.exe با بالاترین سطح امتیاز در یک سیستم ویندوز اجرا میشد و حاوی یک فایل اجرایی تعبیهشده است که به عوامل تهدید اجازه میدهد تا ضربههای کلید را ثبت کنند، بارگذاری کنند و بارگذاریها را اجرا کنند.
«این بدافزار میتواند بهعنوان یک پروکسی تونلسازی C2 عمل کند و به اپراتور راه دور اجازه دهد تا به سیستمهای دیگر حرکت کند و بیشتر به یک شبکه حرکت کند.» اجرای اولیه بدافزار یک وظیفه برنامهریزیشده ایجاد کرد که قرار است هر ساعت اجرا شود.
بر اساس گزارش CISA در یکی دیگر از تعاملات پاسخ به حادثه در محل، آنها ترافیک دو طرفه بین قربانی و آدرس IP مشکوک APT را مشاهده کردند.
مهاجمان در ابتدا با سوء استفاده از Log4Shell در سرورهای VMware Horizon وصله نشده، به محیط تولید قربانی (مجموعه ای از رایانه ها که در آن نرم افزار یا به روز رسانی آماده کاربر در آن مستقر است) دسترسی پیدا می کنند. بعداً CISA مشاهده کرد که دشمن از اسکریپتهای Powershell برای انجام حرکات جانبی، بازیابی و اجرای بدافزار لودر با قابلیت نظارت از راه دور یک سیستم، به دست آوردن پوسته معکوس و استخراج اطلاعات حساس استفاده میکند.
تجزیه و تحلیل بیشتر نشان داد که مهاجمان با دسترسی به تست سازمان و محیط تولید از اهرم استفاده می کنند CVE-2022-22954، یک نقص RCE در VMware Workspace ONE Access and Identity manager. برای کاشت پوسته وب دینگو J-spy،
واکنش به حادثه و اقدامات کاهشی
CISA و CGCYBER اقدامات متعددی را توصیه میکنند که در صورت کشف سیستمهای در معرض خطر توسط مدیر، باید انجام شود:
- سیستم در معرض خطر را جدا کنید
- گزارش مربوطه، داده ها و مصنوعات را تجزیه و تحلیل کنید.
- همه نرم افزارها باید به روز شده و وصله شوند.
- برای محدود کردن سطح حمله و اجرای DMZ، کنترل دسترسی دقیق شبکه، و WAF برای محافظت در برابر حمله، سرویس میزبانی غیر ضروری عمومی را کاهش دهید.
- به سازمانها توصیه میشود که بهترین شیوهها را برای مدیریت هویت و دسترسی (IAM) با معرفی احراز هویت چندعاملی (MFA)، اعمال رمزهای عبور قوی و دسترسی محدود کاربر پیادهسازی کنند.