Le groupe APT TunnelVision exploite Log4j
Table des matières :
L’un des exploits les plus notoires de 2021 a fait son entrée fracassante dans le monde de la cybersécurité en décembre, et maintenant Log4Shell est de retour sur le radar : l’APT TunnelVision lié à l’Iran ne l’a pas laissé reposer en paix, frappant en profitant des vulnérabilités Log4j de VMware Horizon, ainsi que de l’exploitation à grande échelle de Fortinet FortiOS (CVE-2018-13379) et de Microsoft Exchange (ProxyShell).
Détection des activités de TunnelVision
Selon les données actuelles, l’objectif ultime de TunnelVision est de distribuer des ransomwares, en profitant des serveurs VMware Horizon non corrigés. Consultez les règles Sigma qui identifient les activités des acteurs de la menace : détectez les lignes de commande utilisées pour maintenir la persistance, le chargement latéral de DLL, et d’autres comportements suspects associés à l’exploitation généralisée des vulnérabilités ‘1-day’ telles que Fortinet FortiOS, ProxyShell et Log4Shell.
Cible RCE Log4j (CVE-2021-44228) dans VMware Horizon via le service VMBlastSG
Les règles sont fournies par nos développeurs astucieux Threat Bounty Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.
Les attaquants de TunnelVision sont reconnus pour utiliser des outils de tunneling (d’où leur nom), tels que Fast Reverse Proxy Client (FRPC) et Plink, pour éviter la détection. Dans cet environnement, il est fortement recommandé à tous les professionnels de la sécurité de partager des renseignements sur les menaces avec la communauté et de tirer parti des indicateurs de compromission disponibles. De plus, il est sage de saisir l’opportunité d’améliorer votre routine de défense et de détection. Pour consulter la liste complète du contenu de détection, visitez la plateforme SOC Prime. Les adeptes en cybersécurité sont plus que bienvenus pour rejoindre le programme Threat Bounty afin de publier du contenu SOC sur la plateforme leader de l’industrie et être récompensés pour leur précieux apport.
Voir les détections Rejoindre Threat Bounty
Le groupe APT TunnelVision exploite
La sécurité n’est aussi forte que son maillon le plus faible. Il y a quelques mois, la bibliothèque Log4j est devenue la principale porte d’entrée pour les acteurs de la menace dans les appareils et réseaux des victimes. Depuis que Log4Shell, alias Log4j ou vulnérabilité critique LogJam dans Apache Log4j, a fait surface pour la première fois en décembre 2021, les entreprises du monde entier sont aux prises avec de graves préoccupations en matière de cybersécurité. Le notoire Log4Shell a stupéfié la communauté de la sécurité numérique par la gravité des incidents, ainsi que par la rapidité avec laquelle ils augmentaient. La facilité d’exploitation du bug de la bibliothèque a permis une exécution de code à distance non authentifiée accordant une compromission complète du système. Cela a attiré de nombreux adversaires et a été massivement exploité dans la nature.
Aujourd’hui, TunnelVision exploite la vulnérabilité Log4j, Fortinet FortiOS et Microsoft Exchange au Moyen-Orient et aux États-Unis comme principales régions cibles, rapportent des chercheurs de SentinelOne. L’analyse des TTP trace des schémas caractéristiques des organisations de hackers soutenues par l’État iranien Nemesis Kitten, Phosphorus, et Charming Kitten.
L’exploitation de Log4j dans VMware Horizon est marquée par un processus malveillant qui émerge du service Tomcat du produit VMware. Selon les chercheurs, les adversaires exploitent initialement Log4j pour exécuter des commandes PowerShell, puis poursuivent avec des commandes PS reverse shells via Tomcat. Avec PowerShell, les acteurs de la menace téléchargent des outils de tunneling tels que Ngrok dans le but de déposer des portes dérobées PowerShell. Le premier paquet d’exploits est un fichier zip avec un exécutable InteropServices.exe ; le second est une version modifiée d’un one-liner PowerShell qui a été largement utilisé par des hackers parrainés par des États lors de campagnes précédentes.
TunnelVision aurait utilisé un dépôt GitHub, « VmWareHorizon » pour stocker les charges utiles tout au long de l’opération.
Conclusion
Les APT sont une facette excellente et dangereuse du cadre moderne de la menace en cybersécurité. La plateforme SOC Prime aide à se défendre contre les solutions de piratage sur mesure des APT plus rapidement et plus efficacement. Testez les capacités de streaming de contenu du module CCM et aidez votre organisation à renforcer les opérations de votre SOC quotidien avec des renseignements sur les cybermenaces. Restez à l’écoute de l’environnement de risques de cybersécurité en constante évolution et obtenez les meilleures solutions d’atténuation avec SOC Prime.
