Οι διακομιστές VMware Horizon στο στόχαστρο από ομάδες που υποστηρίζονται από την Ιρανική κυβέρνηση

Ομάδες που συντάσσονται με την κυβέρνηση του Ιράν εκμεταλλεύονται την κρίσιμη ευπάθεια Log4j για να μολύνουν χρήστες VMware που δεν έχουν ενημερώσει τα συστήματά τους, με ransomware, δήλωσαν ερευνητές την Πέμπτη. Η εταιρεία ασφαλείας SentinelOne έχει ονομάσει την ομάδα TunnelVision. Το όνομα έχει σκοπό να τονίσει τη μεγάλη εξάρτηση της TunnelVision στα εργαλεία tunneling και τον μοναδικό τρόπο που τα αναπτύσσει. Στο παρελθόν, το TunnelVision είχε εκμεταλλευτεί τις λεγόμενες ευπάθειες 1 ημέρας -- δηλαδή ευπάθειες που έχουν επιδιορθωθεί πρόσφατα -- για να χακάρει οργανισμούς που δεν έχουν εγκαταστήσει ακόμη την επιδιόρθωση. Τα τρωτά σημεία στο Fortinet FortiOS (CVE-2018-13379) και στο Microsoft Exchange (ProxyShell) είναι δύο από τους πιο γνωστούς στόχους της ομάδας.

Η έρευνα του SentinelOne δείχνει ότι η στόχευση συνεχίζεται και ότι αυτή τη φορά ο στόχος είναι οργανισμοί που τρέχουν το VMware Horizon, ένα προϊόν εικονικοποίησης επιτραπέζιων υπολογιστών και εφαρμογών που εκτελείται σε Windows, macOS και Linux.

Ο Apache Tomcat είναι ένας διακομιστής Web ανοιχτού κώδικα που χρησιμοποιείται στο VMware και άλλο εταιρικό λογισμικό για την ανάπτυξη και εξυπηρέτηση εφαρμογών Ιστού που βασίζονται σε Java. Μόλις εγκατασταθεί, ένα shell επιτρέπει στους χάκερ να εκτελούν εξ αποστάσεως εντολές της επιλογής τους σε δίκτυα που εκμεταλλεύονται. Το PowerShell που χρησιμοποιείται εδώ φαίνεται να είναι μια παραλλαγή αυτού που είναι διαθέσιμο στο κοινό. Μόλις εγκατασταθεί, τα μέλη του TunnelVision το χρησιμοποιούν για:

• Εκτέλεση εντολών αναγνώρισης,
• Δημιουργία ενός χρήστη στην ομάδα διαχειριστών δικτύου
• Συλλογή διαπιστευτηρίων χρησιμοποιώντας ProcDump, SAM hive dumps και comsvcs MiniDump.
• Λήψη και εκτέλεση εργαλείων tunneling, συμπεριλαμβανομένων των Plink και Ngrok, τα οποία χρησιμοποιούνται για τη διοχέτευση της κυκλοφορίας δεδομένων μέσω RDP.

Οι χάκερ χρησιμοποιούν πολλαπλές νόμιμες υπηρεσίες για να επιτύχουν και να αποκρύψουν τις δραστηριότητές τους. Αυτές οι υπηρεσίες περιλαμβάνουν τις: transfer.sh, pastebin.com, webhook.site, ufile.io και raw.githubusercontent.com.

Όσοι προσπαθούν να προσδιορίσουν εάν επηρεάζεται ο οργανισμός τους θα πρέπει να αναζητήσουν ανεξήγητες εξερχόμενες συνδέσεις με αυτές τις νόμιμες δημόσιες υπηρεσίες.

Φωτογραφία: Getty Images