A CISA alerta que os agentes de ameaças estão aumentando os ataques contra a vulnerabilidade Log4Shell não corrigida em servidores VMware.
A Agência de Segurança Cibernética e Infraestrutura (CISA) e o Comando Cibernético da Guarda Costeira (CGCYBER) lançaram um assessoria conjunta alertando que a falha do Log4Shell está sendo abusada por agentes de ameaças que estão comprometendo os servidores VMware Horizon e Unified Access Gateway (UAG) voltados para o público.
O VMware Horizon é uma plataforma usada por administradores para executar e entregar desktops e aplicativos virtuais na nuvem híbrida, enquanto o UAG fornece acesso seguro aos recursos que residem em uma rede.
De acordo com a CISA, em um caso, o agente de ameaça persistente avançada (APT) compromete a rede interna da vítima, obtém uma rede de recuperação de desastres e extrai informações confidenciais. “Como parte dessa exploração, suspeitos de APT implantaram malware de carregador em sistemas comprometidos com executáveis incorporados, permitindo comando e controle remoto (C2)”, acrescentou a CISA.
Log4Shell é uma vulnerabilidade de execução remota de código (RCE) que afeta a biblioteca de log conhecida como “Log4j” no Apache. A biblioteca é amplamente utilizada por várias organizações, empresas, aplicativos e serviços.
Análise de Ataque
O CGCYBER conduz um envolvimento proativo de caça a ameaças em uma organização que foi comprometida pelos agentes de ameaças que exploraram o Log4Shell no VMware Horizon. Isso revelou que, após obter acesso inicial ao sistema da vítima, o adversário carregou um malware identificado como “hmsvc.exe”.
Os pesquisadores analisaram a amostra do malware hmsvc.exe e confirmaram que o processo se disfarça como um serviço legítimo do Windows e uma versão alterada do software SysInternals LogonSessions.
De acordo com a amostra do pesquisador, o malware hmsvc.exe estava sendo executado com o nível de privilégio mais alto em um sistema Windows e contém um executável incorporado que permite que os agentes de ameaças registrem pressionamentos de tecla, carreguem e executem cargas úteis.
“O malware pode funcionar como um proxy de encapsulamento C2, permitindo que um operador remoto gire para outros sistemas e avance em uma rede.” A execução inicial do malware criou uma tarefa agendada que é definida para ser executada a cada hora.
De acordo com a CISA em outro compromisso de resposta a incidentes no local, eles observaram tráfego bidirecional entre a vítima e o endereço IP do APT suspeito.
Os invasores inicialmente obtêm acesso ao ambiente de produção da vítima (um conjunto de computadores onde o software pronto para o usuário ou a atualização são implantados), explorando o Log4Shell em servidores VMware Horizon sem patches. Mais tarde, a CISA observou que o adversário usa scripts Powershell para realizar movimentos laterais, recuperar e executar o malware do carregador com a capacidade de monitorar remotamente um sistema, obter shell reverso e exfiltrar informações confidenciais.
Uma análise mais aprofundada revelou que os invasores com acesso ao ambiente de teste e produção da organização aproveitaram CVE-2022-22954, uma falha RCE no acesso VMware Workspace ONE e no gerenciador de identidades. para implantar o web shell Dingo J-spy,
Resposta a Incidentes e Mitigações
A CISA e a CGCYBER recomendaram várias ações que devem ser tomadas se um administrador descobrir sistemas comprometidos:
- Isolar o sistema comprometido
- Analise o log, dados e artefatos relevantes.
- Todos os softwares devem ser atualizados e corrigidos a partir do .
- Reduza o serviço de hospedagem não essencial voltado para o público para restringir a superfície de ataque e implemente DMZ, controle de acesso à rede rigoroso e WAF para proteção contra ataques.
- As organizações são aconselhadas a implementar as melhores práticas para gerenciamento de identidade e acesso (IAM) introduzindo a autenticação multifator (MFA), impondo senhas fortes e acesso limitado do usuário.
- blockchain
- Coingenius
- carteiras de criptomoeda
- cryptoexchange
- cíber segurança
- cibercriminosos
- Cíber segurança
- Departamento de Segurança Interna
- carteiras digitais
- firewall
- Kaspersky
- malwares
- Mcafee
- NexBLOC
- platão
- platão ai
- Inteligência de Dados Platão
- Jogo de Platão
- PlatãoData
- jogo de platô
- VPN
- vulnerabilidades
- a segurança do website
- zefirnet