CISA advarer om at trusselaktører øker angrep mot uopprettet Log4Shell-sårbarhet i VMware-servere.
Cybersecurity and Infrastructure Security Agency (CISA) og Coast Guard Cyber Command (CGCYBER) ga ut en felles rådgivende advarer om at Log4Shell-feilen blir misbrukt av trusselaktører som kompromitterer offentlige VMware Horizon- og UAG-servere (Unified Access Gateway).
VMware Horizon er en plattform som brukes av administratorer til å kjøre og levere virtuelle skrivebord og apper i hybridskyen, mens UAG gir sikker tilgang til ressursene som ligger i et nettverk.
I følge CISA kompromitterer APT-aktøren i ett tilfelle offerets interne nettverk, anskaffer et katastrofegjenopprettingsnettverk og trekker ut sensitiv informasjon. "Som en del av denne utnyttelsen, implanterte mistenkte APT-aktører loader-malware på kompromitterte systemer med innebygde kjørbare filer som muliggjør ekstern kommando og kontroll (C2)," la CISA til.
Log4Shell er et RCE-sårbarhet (Remote Code execution) som påvirker loggbiblioteket kjent som "Log4j" i Apache. Biblioteket er mye brukt av ulike organisasjoner, bedrifter, applikasjoner og tjenester.
Angrepsanalyse
CGCYBER gjennomfører en proaktiv trusseljaktengasjement i en organisasjon som ble kompromittert av trusselaktørene som utnyttet Log4Shell i VMware Horizon. Dette avslørte at etter å ha fått første tilgang til offersystemet, lastet motstanderen opp en skadelig programvare identifisert som "hmsvc.exe".
Forskerne analyserte prøven av hmsvc.exe-malwaren og bekreftet at prosessen ble maskert som en legitim Windows-tjeneste og en endret versjon av SysInternals LogonSessions-programvaren.
Ifølge forskereksemplet av hmsvc.exe kjørte malware med det høyeste privilegienivået på et Windows-system og inneholder en innebygd kjørbar fil som lar trusselaktører logge tastetrykk, laste opp og utføre nyttelaster.
"Skadevare kan fungere som en C2-tunnelproxy, slik at en ekstern operatør kan pivotere til andre systemer og bevege seg videre inn i et nettverk," Den første utførelsen av skadelig programvare skapte en planlagt oppgave som er satt til å utføres hver time.
I følge CISA i et annet hendelsesresponsengasjement på stedet, observerte de toveis trafikk mellom offeret og den mistenkte APT-IP-adressen.
Angriperne får i utgangspunktet tilgang til offerets produksjonsmiljø (et sett med datamaskiner der brukerklar programvare eller oppdatering er distribuert), ved å utnytte Log4Shell i upatchede VMware Horizon-servere. Senere observerte CISA at motstanderen bruker Powershell-skript for å utføre laterale bevegelser, hente og kjøre loader-malware med muligheten til å fjernovervåke et system, få omvendt skall og eksfiltrere sensitiv informasjon.
Ytterligere analyse avslørte at angripere med tilgang til organisasjonens test- og produksjonsmiljø utnyttet CVE-2022-22954, en RCE-feil i VMware workspace ONE-tilgang og Identity Manager. å implantere Dingo J-spy-nettskallet,
Hendelsesrespons og begrensninger
CISA og CGCYBER anbefalte flere handlinger som bør iverksettes hvis en administrator oppdager kompromitterte systemer:
- Isoler kompromittert system
- Analyser relevant logg, data og artefakter.
- All programvare bør oppdateres og lappes fra .
- Reduser den ikke-essensielle offentlig-vendte vertstjenesten for å begrense angrepsoverflaten og implementer DMZ, streng nettverkstilgangskontroll og WAF for å beskytte mot angrep.
- Organisasjoner anbefales å implementere beste praksis for identitets- og tilgangsadministrasjon (IAM) ved å innføre multifaktorautentisering (MFA), håndheve sterke passord og begrenset brukertilgang.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- VPN
- Sikkerhetsproblemer
- nettside sikkerhet
- zephyrnet
