APT-Gruppe TunnelVision nutzt Log4j aus
Inhaltsverzeichnis:
Einer der berüchtigtsten Exploits des Jahres 2021 machte seinen lauten Eintritt in die Welt der Cybersicherheit im Dezember, und nun Log4Shell ist wieder auf dem Radar: Die mit Iran verbundene APT namens TunnelVision ließ ihn nicht in Frieden ruhen und profitierte von den Schwachstellen von VMware Horizon Log4j, zusammen mit der großflächigen Ausnutzung von Fortinet FortiOS (CVE-2018-13379) und Microsoft Exchange (ProxyShell).
Aktivitätsdetektion von TunnelVision
Laut aktuellen Daten ist das Endziel von TunnelVision die Verbreitung von Ransomware, indem ungesicherte VMware Horizon Server ausgenutzt werden. Überprüfen Sie die Sigma-Regeln, die Aktivitäten von Bedrohungsakteuren identifizieren: Erkennen Sie Befehlszeilen, die zur Aufrechterhaltung der Persistenz verwendet werden, DLL-Sideloading und andere verdächtige Verhaltensweisen im Zusammenhang mit der weiten Ausnutzung von 1-Tages-Schwachstellen wie Fortinet FortiOS, ProxyShell und Log4Shell.
Ausnutzung der Log4j(CVE-2021-44228) Schwachstelle in VMware Horizon (über geplante Task-Erstellung)
Log4j RCE (CVE-2021-44228) Ziel in VMware Horizon über VMBlastSG Service
Log4j-Exploit trifft erneut anfällige VMWare Horizon Server in Gefahr (via Prozesserstellung)
Log4j-Exploit trifft erneut anfällige VMWare Horizon Server in Gefahr (via Prozesserstellung)
Die Regeln werden von unseren talentierten Threat Bounty Entwicklern bereitgestellt Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.
Die Angreifer von TunnelVision setzen nachweislich Tunneling-Tools (daher der Name) wie den Fast Reverse Proxy Client (FRPC) und Plink ein, um die Erkennung zu vermeiden. In diesem Umfeld wird allen Sicherheitsfachleuten dringend empfohlen, Bedrohungsinformationen mit der Gemeinschaft zu teilen und die verfügbaren Indikatoren für Kompromittierungen zu nutzen. Außerdem ist es nur klug, die Gelegenheit zu ergreifen, um Ihre Verteidigungs- und Erkennungsroutine auf eine neue Stufe zu heben. Um die vollständige Liste der Erkennungsinhalte zu überprüfen, besuchen Sie die SOC Prime Plattform. Fachleute für Cybersicherheit sind herzlich eingeladen, dem Threat Bounty-Programm beizutreten, um SOC-Inhalte auf der branchenführenden Plattform zu veröffentlichen und für ihren wertvollen Beitrag belohnt zu werden.
Erkennung ansehen Threat Bounty beitreten
Exploits der TunnelVision APT Gruppe
Sicherheit ist nur so stark wie das schwächste Glied. Vor einigen Monaten wurde die Log4j-Bibliothek zum primären Zugangstor für Bedrohungsakteure zu den Geräten und Netzwerken der Opfer. Seit Log4Shell, auch bekannt als Log4j oder LogJam kritische Schwachstelle in Apache Log4j, erstmals im Dezember 2021 auftauchte, kämpfen Unternehmen weltweit mit erheblichen Cybersicherheitsbedenken. Die berüchtigte Log4Shell hat die digitale Sicherheitsgemeinschaft durch die Schwere der Vorfälle sowie die Geschwindigkeit, mit der sie zunahmen, schockiert. Die einfache Ausnutzung des Bibliotheksfehlers ermöglichte eine nicht authentifizierte Remote-Code-Ausführung, die eine vollständige Systemkompromittierung gewährte. Sie lockte viele Gegner an und wurde massiv in freier Wildbahn ausgenutzt.
Heute wird die Log4j-Schwachstelle von TunnelVision ausgenutzt, sowie Fortinet FortiOS und Microsoft Exchange, wobei der Schwerpunkt auf den Hauptzielregionen Naher Osten und USA liegt, berichten SentinelOne Forscher. Die Analyse der TTPs verfolgt Muster, die typisch für iranische staatlich unterstützte Hackerorganisationen wie Nemesis Kitten, Phosphorus und Charming Kitten sind.
Die Ausnutzung von Log4j in VMware Horizon ist durch einen bösartigen Prozess gekennzeichnet, der aus dem Tomcat-Dienst des VMware-Produkts hervorgeht. Laut den Forschern nutzen die Gegner zunächst Log4j aus, um PowerShell-Befehle auszuführen, und fahren dann mit PS-Reverse-Shell-Befehlen über den Tomcat fort. Mit PowerShell laden Bedrohungsakteure Tunneling-Tools wie Ngrok herunter, um PowerShell-Backdoors zu platzieren. Das erste Exploit-Paket ist eine ZIP-Datei mit einer ausführbaren InteropServices.exe; das zweite ist eine modifizierte Version eines PowerShell-One-Liners, der von staatlich unterstützten Hackern in früheren Kampagnen weit verbreitet genutzt wurde.
Es wird berichtet, dass TunnelVision ein GitHub-Repository, „VmWareHorizon“, verwendet hat, um die Payloads während der gesamten Operation zu speichern.
Fazit
APTs sind ein herausragender und gefährlicher Aspekt des modernen Cybersicherheitsbedrohungsrahmens. Die SOC Prime Plattform hilft, sich schneller und effizienter gegen die maßgeschneiderten Hacking-Lösungen der APTs zu verteidigen. Testen Sie die Content-Streaming-Fähigkeiten des CCM-Moduls und helfen Sie Ihrer Organisation, tägliche SOC-Operationen mit Bedrohungsinformationen zu stärken. Halten Sie den Finger am Puls der schnellen Umgebung von Cybersicherheitsrisiken und erhalten Sie die besten Lösungen zur Risikominderung mit SOC Prime.
