El Grupo APT TunnelVision Explota el Log4j
Tabla de contenidos:
Uno de los exploits más notorios de 2021 hizo su ruidosa entrada en el mundo de la ciberseguridad en diciembre, y ahora Log4Shell está de vuelta en el radar: el APT TunnelVision vinculado a Irán no lo dejó descansar en paz, atacando y aprovechando las vulnerabilidades de VMware Horizon Log4j, junto con la explotación a gran escala de Fortinet FortiOS (CVE-2018-13379) y Microsoft Exchange (ProxyShell).
DetecciĂłn de Actividades de TunnelVision
SegĂşn los datos actuales, el objetivo final de TunnelVision es distribuir ransomware, aprovechando los servidores VMware Horizon sin parches. Consulta las reglas Sigma que identifican las actividades del actor de la amenaza: detecta lĂneas de comando utilizadas para mantener la persistencia, carga de DLL y otros comportamientos sospechosos asociados con la amplia explotaciĂłn de vulnerabilidades de 1 dĂa como Fortinet FortiOS, ProxyShell y Log4Shell.
Log4j RCE (CVE-2021-44228) Objetivo en VMware Horizon mediante el Servicio VMBlastSG
Las reglas son proporcionadas por nuestros desarrolladores histĂłricos de Threat Bounty Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.
Se ha demostrado que los atacantes de TunnelVision emplean herramientas de tĂşnel (de ahĂ el nombre), como Fast Reverse Proxy Client (FRPC) y Plink, para evitar la detecciĂłn. En este entorno, se recomienda encarecidamente a todos los profesionales de seguridad que compartan inteligencia sobre amenazas con la comunidad y aprovechen los indicadores de compromiso disponibles. Además, es prudente aprovechar la oportunidad de elevar su rutina de defensa y detecciĂłn. Para consultar la lista completa de contenido de detecciĂłn, visite la plataforma SOC Prime. Los expertos en ciberseguridad son más que bienvenidos a unirse al programa Threat Bounty para publicar contenido SOC en la plataforma lĂder de la industria y ser recompensados por su valiosa contribuciĂłn.
Ver Detecciones Unirse a Threat Bounty
Grupo APT TunnelVision Exploits
La seguridad es tan fuerte como el eslabĂłn más dĂ©bil. Hace unos meses, la biblioteca Log4j se convirtiĂł en la principal puerta de entrada para los actores de amenazas en los dispositivos y redes de las vĂctimas. Desde que Log4Shell, tambiĂ©n conocida como vulnerabilidad crĂtica Log4j o LogJam en Apache Log4j, apareciĂł por primera vez en diciembre de 2021, las empresas de todo el mundo han estado lidiando con serios problemas de ciberseguridad. La notoria Log4Shell sorprendiĂł a la comunidad de seguridad digital por la gravedad de los incidentes, asĂ como por la rapidez con que aumentaban. La facilidad de explotar el error de la biblioteca permitiĂł una ejecuciĂłn remota de cĂłdigo no autenticada que concedĂa compromiso total del sistema. Atrajo a muchos adversarios y fue extremadamente explotada en la naturaleza.
Hoy, TunnelVision está explotando la vulnerabilidad Log4j, Fortinet FortiOS y Microsoft Exchange en el Medio Oriente y los EE.UU. como las principales regiones objetivo, informan los investigadores de SentinelOne . El análisis de TTPs traza patrones caracterĂsticos de las organizaciones de hackers respaldadas por el estado iranĂ Nemesis Kitten, Phosphorus y Charming Kitten.
La explotaciĂłn de Log4j en VMware Horizon está marcada por un proceso malicioso que surge del servicio Tomcat del producto VMware. SegĂşn los investigadores, los adversarios inicialmente explotan Log4j para ejecutar comandos PowerShell y luego continĂşan con comandos PS reverse shells a travĂ©s de Tomcat. Con PowerShell, los actores de amenaza descargan herramientas de tĂşnel como Ngrok con el objetivo de introducir puertas traseras en PowerShell. El primer paquete de explotaciĂłn es un archivo zip con un ejecutable InteropServices.exe; el segundo es una versiĂłn modificada de un comando PowerShell de una lĂnea que ha sido ampliamente usado por hackers patrocinados por el estado en campañas anteriores.
Se informa que TunnelVision ha utilizado un repositorio de GitHub, «VmWareHorizon» para almacenar las cargas útiles a lo largo de la operación.
ConclusiĂłn
Los APTs son una faceta sobresaliente y peligrosa del marco de amenazas modernas de ciberseguridad. La plataforma SOC Prime ayuda a defenderse contra las soluciones de hacking personalizadas de los APTs de manera más rápida y eficiente. Prueba las capacidades de transmisión de contenido del módulo CCM y ayuda a tu organización a potenciar las operaciones diarias del SOC con inteligencia de amenazas cibernéticas. Mantén el dedo en el pulso del vertiginoso entorno de riesgos de ciberseguridad y obtén las mejores soluciones de mitigación con SOC Prime.
