テクノロジー

VMware Horizo​​nサーバーは、イランの国家ハッカーによって積極的に悪用されています

By: さくらニュース

Date:

Share post:


1と0で作られたイランの旗の様式化されたバージョン。

イラン政府と提携しているハッカーは、Log4jの重大な脆弱性を悪用して、パッチが適用されていないVMwareユーザーをランサムウェアに感染させていると研究者らは木曜日に語った。

セキュリティ会社のSentinelOneは、グループTunnelVisionを吹き替えました。 この名前は、TunnelVisionがトンネリングツールに大きく依存していることと、それらを展開する独自の方法を強調するためのものです。 これまで、TunnelVisionは、いわゆる1日の脆弱性(最近パッチが適用された脆弱性を意味する)を悪用して、修正プログラムをまだインストールしていない組織をハッキングしてきました。 Fortinet FortiOS(CVE-2018-13379)とMicrosoft Exchange(ProxyShell)の脆弱性は、グループでよく知られている2つのターゲットです。

Log4Shellと入力します

最近、SentinelOneは、TunnelVisionが、何千ものアプリに統合されているオープンソースのロギングユーティリティであるLog4jの重大な脆弱性を悪用し始めたと報告しました。 CVE-2021-44228(または脆弱性が追跡またはニックネームが付けられているためLog4Shell)により、攻撃者はJavaプログラミング言語でアプリを実行しているコンピューターを簡単にリモートコントロールできるようになります。 バグビット インターネットの最大のプレーヤー 広く 野生をターゲットに それが知られるようになった後。

SentinelOneの調査によると、ターゲティングは継続されており、今回のターゲットは、Windows、macOS、およびLinuxで実行されるデスクトップおよびアプリの仮想化製品であるVMwareHorizo​​nを実行している組織です。

「TunnelVisionの攻撃者は、この脆弱性を積極的に悪用して、悪意のあるPowerShellコマンドを実行し、バックドアを展開し、バックドアユーザーを作成し、資格情報を収集し、横方向に移動します」と、企業の研究者であるAmitai Ben ShushanEhrlichとYairRigevskyは述べています。 投稿に書いた。 「通常、攻撃者は最初にLog4jの脆弱性を悪用して、PowerShellコマンドを直接実行し、次に、Tomcatプロセスを介して実行されるPSリバースシェルを使用してさらにコマンドを実行します。」

Apache Tomcatは、VMwareおよびその他のエンタープライズソフトウェアがJavaベースのWebアプリを展開および提供するために使用するオープンソースのWebサーバーです。 シェルをインストールすると、ハッカーは悪用されたネットワーク上で選択したコマンドをリモートで実行できるようになります。 ここで使用されているPowerShellは、 これ 公開されているもの。 インストールされると、TunnelVisionメンバーはそれを次の目的で使用します。

  • 偵察コマンドを実行する
  • バックドアユーザーを作成し、ネットワーク管理者グループに追加します
  • ProcDump、SAMハイブダンプ、およびcomsvc​​sMiniDumpを使用してクレデンシャルを収集します
  • リモートデスクトッププロトコルトラフィックのトンネリングに使用されるPlinkやNgrokなどのトンネリングツールをダウンロードして実行します

ハッカーは、複数の正当なサービスを使用して、自分たちの活動を達成し、覆い隠します。 これらのサービスには次のものが含まれます。

  • transfer.sh
  • Pastebin.com
  • webhook.site
  • ufile.io
  • raw.githubusercontent.com

組織が影響を受けているかどうかを判断しようとしている人は、これらの合法的な公共サービスへの説明のつかない発信接続を探す必要があります。

トンネル、鉱物、子猫

木曜日のレポートによると、TunnelVisionは、他の研究者が長年にわたってさらしたいくつかの脅威グループと重複しています。 Microsoftは1つのグループをPhosphorousと呼んでいます。 マイクロソフトが報告したグループは、 米国大統領選挙をハックする 収益を上げたり、敵を混乱させたりするためにランサムウェアをインストールします。 連邦政府はまた、イランのハッカーは 重要なインフラストラクチャをターゲットにする 米国ではランサムウェアを使用しています。

SentinelOneによると、TunnelVisionは、セキュリティ会社のCrowdStrikeがCharmingKittenとNemesisKittenとして追跡している2つの脅威グループとも重複しています。

「このクラスターは「TunnelVision」という名前で個別に追跡しています」とSentinelOneの研究者は書いています。 「これは、それらが必ずしも無関係であると私たちが信じていることを意味するのではなく、現在、前述の帰属のいずれかと同一として扱うにはデータが不十分であるということだけを意味します。」

投稿には、管理者が侵害されたかどうかを判断するために使用できるインジケーターのリストが記載されています。



Source_link

Previous article
気候技術調査、セックス技術戦略、スタートアップアドバイザーの報酬– TechCrunch
Next article
Telegramが私の裸の写真を削除しないのはなぜですか?
さくらニュース
さくらニュースhttps://www.sakuratoday.com