Tunnelvision olarak izlenen İranlı hizalı bir hack grubu, Orta Doğu ve Amerika Birleşik Devletleri'ndeki kurumsal ağları ihlal etmek için VMware Horizon Sunucuları'ndaki Log4J'si tespit edildi.
Aktiviteyi takip eden Sentinellabs'daki güvenlik analistleri, Grup'un aktivitelerini elde etmelerinin çözümlerini saklamalarına yardımcı olan tünelleme araçlarına yönelik ağır güven nedeniyle bu ismi seçti.
Tünelleştirme, veri trafiğini, şanzımanının gizlenmesi veya hatta gizlenebilmesi için veri trafiğini yönlendirmenin sürecidir.
Tunnelvision'un nihai amacı, fidye yazılımın dağıtılması gibi görünüyor, bu yüzden grup tek başına cazibe casusluğa odaklanmadı, ancak veri yıkım ve operasyonel rahatsızlık.
TunnelVision daha önce CVE-2018-13379'u (Fortinet Fortios), Microsoft Exchange Proxyshell güvenlik açığı setini hedef aldı ve şimdi Log4shell Exploit'e döndü.
Hedef dağıtımlar, kullanımı kolay log4j kusurlarına karşı savunmasız VMware Horizon Sunucularıdır.
Kullanıcı işlemi, NHS'nin Ocak 2022 güvenlik bülteninde olduğu, PowerShell komutlarının doğrudan yürütülmesini ve TOMCAT hizmeti üzerinden ters kabukların aktivasyonunu içeren nhs ile aynıdır.
PowerShell komutları, bir Webhook kullanarak çıktıları alma konusunda rakiplere yardımcı olurken, tüm bağlantılar aşağıdaki meşru hizmetlerden birini kullanırken:
Sentinellabs, tünelvision'u gözlemlenen iki özel ters kabuk backdoors'ı uzatmış makinelere bıraktı.
İlk yükü, "interopservices.exe" adlı "interopservices.exe" adlı "interopservices.exe" adlı bir fermuar dosyasıdır. "Microsoft-UpdateServer [.] CF."
Son saldırılardaki tehdit aktörleri tarafından ağırlıklı olarak kullanılan ikinci taşıma yükü, GitHub'da bulunan bir astar PowerShell'in değiştirilmiş bir versiyonudur.
TunnelVision, aşağıdaki işlemleri gerçekleştirmek için bu ikinci arka kapınıza dayanır:
Tunnelvision, diğer İran hack grupları ile bazı benzerlikler ve örtüşme olsa da, Sentinellablar aktiviteyi ayrı ve belirgin bir küme ile nitelendirir.
"TunnelVision Faaliyetleri daha önce tartışıldı ve fosfor (Microsoft) gibi çeşitli isimler altındaki diğer satıcılar tarafından takip edildi ve, büyüleyici yavru kedi ya da nemesis yavruları (Crowdstrike)," dedi.
"Bu kafa karışıklığı, Microsoft'un tek bir grup olarak kabul ettiği faaliyetten kaynaklanıyor," fosfor ", Crowdstrike'nin iki farklı aktöre ait, büyüleyici yavru kedi ve nemesis yavrularına ait olduğunu ayırt ediyor."
Analistler sonuçlandıkça, bu gruplar arasında bir ilişki olasılığı hariç tutulamaz, ancak şu anda herhangi bir bağlantıya işaret eden yeterli bir kanıt yoktur.
Devlet bilgisayar korsanları, log4j saldırılarında yeni PowerShell backdoor kullanıyor
Tüm log4j, logback hataları şimdiye kadar biliyoruz ve neden hendek yapmalısınız 2.15
VMware: Patch Horizon Sunucuları Devam Eden Log4J Saldırılarına Karşı!
Gece Sky Ransomware, VMware Horizon Sunucularını kesmek için log4j böcek kullanır
FTC, şirketleri tüketici verilerini log4j saldırılarından korumak için uyarır.
Kaynak: Bleeping Computer