Les attaques Log4j se poursuivent sans relâche contre les serveurs VMware Horizon
Les chercheurs ont trouvé trois backdoors et quatre mineurs dans des attaques exploitant la vulnérabilité Log4Shell, dont certaines sont toujours en cours.
Ce que les chercheurs appellent une « horde » de robots mineurs et de portes dérobées utilise le bogue Log4Shell pour prendre le contrôle des serveurs VMware Horizon vulnérables, les acteurs de la menace menant toujours activement certaines attaques.
Mardi, Sophos a signalé que la vulnérabilité Log4j d’exécution de code à distance (RCE) dans la bibliothèque de journalisation Java omniprésente fait l’objet d’attaques actives, « en particulier parmi les robots d’extraction de crypto-monnaie ». Outre les cryptomineurs, les attaquants ouvrent également Log4Shell pour fournir des portes dérobées que Sophos considère comme des courtiers d’accès initiaux (IAB) qui pourraient jeter les bases d’infections ultérieures par ransomware.
Histoire de Log4Shell Nightmare-ware
La faille Log4j a été découverte en décembre, vigoureusement attaquée quelques heures après sa découverte et par la suite surnommée Log4Shell. Les conclusions de Sophos sur les serveurs VMware Horizon assiégés par des acteurs malveillants tirant parti du bogue sont conformes à ce qui s’est passé depuis lors : en fait, les cyberattaques ont augmenté de 50 % en glissement annuel en 2021, culminant en décembre, en raison d’une frénésie d’exploits Log4j.
Avec des millions d’attaques ciblées par Log4j par heure depuis la découverte de la faille, en quelques semaines seulement, il y a eu un pic record de 925 cyberattaques par semaine et par organisation, dans le monde, comme l’a rapporté Check Point Research (CPR) début janvier. .
Log4Shell a été un cauchemar pour les organisations à traquer et à corriger, étant donné que la faille affectait des centaines de produits logiciels, « rendant difficile pour certaines organisations d’évaluer leur exposition », ont noté les chercheurs de Sophos Gabor Szappanos et Sean Gallagher dans le rapport de mardi. Autrement dit, certaines tenues ne savent pas forcément si elles sont vulnérables.
Pourquoi les attaquants se sont concentrés sur Horizon
En particulier, ces attaques ont inclus celles ciblant les serveurs VMware Horizon vulnérables : une plate-forme qui sert des postes de travail virtuels et des applications sur le cloud hybride. Ces serveurs ont été des outils importants dans les arsenaux des organisations au cours des dernières années, étant donné que la pandémie a déclenché la nécessité de fournir des outils de travail à domicile, ont souligné les chercheurs.
Bien que VMware ait publié des versions corrigées d’Horizon plus tôt ce mois-ci – le 8 mars – de nombreuses organisations n’ont peut-être pas été en mesure de déployer la version corrigée ou d’appliquer des solutions de contournement, si elles savent même qu’elles sont vulnérables au départ.
« Les tentatives de compromission des serveurs Horizon font partie des exploits les plus ciblés des vulnérabilités Log4Shell en raison de leur nature », a déclaré Sophos.
Même les organisations qui ont appliqué les correctifs ou les solutions de contournement peuvent avoir déjà été compromises d’autres manières, compte tenu des portes dérobées et de l’activité de reverse-shell que Sophos a suivies, ont averti les chercheurs.
Fin décembre et janvier, les serveurs Horizon de VMWare avec des vulnérabilités Log4Shell ont été attaqués par Cobalt Strike, comme l’ont signalé les chercheurs de Huntress. D’autres attaques comprenaient celles qui installaient des shells Web.
Ces attaques ont utilisé l’appel de ressource LDAP (Lightweight Directory Access Protocol) de Log4j pour récupérer un fichier de classe Java malveillant qui a modifié le code Java existant et légitime, en injectant un shell Web dans le service VM Blast Secure Gateway et en accordant ainsi aux attaquants un accès à distance et l’exécution de code. . Sophos a vu ces attaques apparaître dans la télémétrie des clients depuis début janvier, ont déclaré les chercheurs.
Les attaques contre les serveurs Horizon se sont multipliées tout au long du mois de janvier. Au-delà des tentatives de déploiement de logiciels malveillants d’extraction de crypto-monnaie, d’autres attaques ont été potentiellement conçues soit pour accorder aux acteurs de la menace un accès initial, soit pour infecter des cibles avec des ransomwares, a déclaré Sophos. De telles attaques se sont poursuivies ce mois-ci : la société de sécurité a partagé un graphique à barres, illustré ci-dessous, qui montre le flux et le reflux des attaques qui ont saigné jusqu’à la mi-mars.
VMware Horizon server attacks since the beginning of January. Source: Sophos.
« La plus grande vague d’attaques Log4J visant Horizon que nous avons détectée a commencé le 19 janvier et est toujours en cours », ont déclaré les chercheurs.
Mais cette vague ne s’est pas appuyée sur l’utilisation de l’un des outils préférés des cybercriminels, Cobalt Strike : un outil commercial de test d’intrusion qui peut être utilisé pour déployer des balises sur les systèmes afin de simuler des attaques et de tester les défenses du réseau.
Au lieu de cela, « le script d’installation du cryptomineur est directement exécuté à partir du composant Apache Tomcat du serveur Horizon », a déclaré Sophos, le serveur le plus fréquemment utilisé dans les campagnes étant 80.71.158.96.
Les charges utiles
Sophos a découvert qu’un grand nombre de mineurs étaient déversés sur des serveurs Horizon ciblés, notamment z0Miner, le mineur JavaX et au moins deux variantes – les robots mineurs de crypto-monnaie Jin et Mimu – du cryptomineur commercial XMRig. En parlant de cela, Uptycs a rapporté en janvier que les cryptojackers avaient trouvé comment injecter XMRig dans les services vSphere de VMware, sans être détectés. Pour sa part, en septembre 2021, Trend Micro a découvert que les opérateurs z0Miner exploitaient Atlassian Confluence RCE (CVE-2021-26084) pour des attaques de cryptojacking.
Sophos a également trouvé plusieurs portes dérobées, dont plusieurs outils de test légitimes. L’un d’entre eux était les implants de Sliver : un outil utilisé par les équipes rouges et les testeurs d’intrusion pour émuler des tactiques contradictoires. Sliver est apparu comme un précurseur du mineur Jin dans tous les cas où Sophos a pu enquêter plus avant, ce qui a conduit les chercheurs à soupçonner qu’il s’agissait en fait de la charge utile. Soit cela, soit peut-être que l’acteur derrière Sliver pourrait être un gang de rançongiciels, ont émis l’hypothèse des chercheurs, étant donné que les mêmes serveurs déployant Sliver hébergeaient également des fichiers pour fournir l’agent Atera en tant que charge utile.
Atera est un autre outil commun et légitime de surveillance et de gestion à distance. Cependant, les acteurs de la menace n’attaquent pas les installations Atera existantes en soi, ont déclaré les chercheurs. Au lieu de cela, « ils installent leurs propres agents Atera afin d’utiliser l’infrastructure de gestion du cloud Atera pour déployer des charges utiles supplémentaires à l’avenir », ont-ils expliqué.
Sophos a également découvert que l’outil d’accès à distance légitime Splashtop Streamer était téléchargé et installé sur des systèmes infectés, « probablement en tant que tâche automatisée pour les nouveaux clients ».
De plus, il y avait plusieurs shells inversés basés sur PowerShell dans le mélange de charge utile qui avaient été abandonnés par les exploits Log4Shell.
Deux types de coques inversées
Sophos a trouvé deux types de reverse shell : un, un script plus court qui ouvre une connexion socket à un serveur distant et exécute le tampon reçu, qui est censé être une commande PowerShell.
Ils ont également trouvé une variante plus grande d’un reverse shell : un qui peut charger de manière réfléchie un binaire Windows, avec le chargeur sous forme de blob chiffré et codé en base64, comme illustré ci-dessous :
Base64 encoded blob. Source: Sophos.
Sophos telemetry showed that while z0Miner, JavaX and some other payloads were downloaded directly by the web shells that had been used for initial compromise, the Jin bots were tied to use of Sliver and used the same wallets as Mimo, “suggesting these three malware were used by the same actor,” Sophos said. Researchers believe that Jin is, in fact, “simply a rebranded version of Mimo.”
Loads of New Malware Loaders
New malware loaders are springing up like dandelions in the spring. Besides the ones covered by Sophos in Tuesday’s report, security researchers at Symantec today also published a technical report on a new malware loader tracked as Verblecon that’s escaped detection due to the polymorphic nature of its code.
Verblecon has likewise been seen in attacks that install cryptocurrency miners on compromised machines.
Saryu Nayyar, CEO and founder of Gurucul, told Threatpost that in order to fight the legitimate assessment tools being used to breach organizations, it’s also “critical” to employ sophisticated technologies – namely, self-training machine learning and behavioral models – to sniff out exploitation of exposed vulnerabilities as well as to detect the remote surveillance done by attackers with tools such as Cobalt Strike, et al.
“Current [extended detection and response, or XDR] and traditional [security information and event management, or SIEM] solutions, even with claims of User Entity Behavior Analytics rooted in known patterns and rule-based artificial intelligence, are unable to adapt to these methods,” she told Threatpost via email. “Organizations need to invest in solutions that employ transparent non rule-based machine learning models to more rapidly identify new attacks.”
Chris Olson, CEO of digital safety platform The Media Trust, told Threatpost on Tuesday that polymorphic techniques “are just another way to hide malicious intentions, along with checks for security tools and live environments.”
This attack provides another example of how the risks of Web 2.0 are being replicated in Web 3.0, he said via email.
“Today’s embryonic beginnings of Web 3.0 are eerily reminiscent of the Web as it existed in the 1990s, showing sporadic signs of vulnerability that may well foreshadow a future era of cyber chaos,” Olson said.
To prevent that from happening, we must learn from our past mistakes, he warned. “Today’s digital ecosystem is riddled with threats because Web 2.0 was not designed for cybersecurity from the outset. Untrusted third parties were allowed to proliferate, leading to phishing attacks, malicious advertising, rampant data privacy abuse and other threats that are hard to fix in the present. With Web 3.0, we have a chance to account for potential attack vectors by design – otherwise, the same issues will replicate themselves with greater potency than ever.”
Pour plus d’information :https://threatpost.com/log4jshell-swarm-vmware-servers-miners-backdoors/179142/
Nous sommes présents sur les réseaux : LinkedIn, Twitter, Facebook, Instagram