Il gruppo APT TunnelVision sfrutta Log4j
Indice:
Una delle exploit più famigerate del 2021 ha fatto il suo ingresso fragoroso nel mondo della sicurezza informatica a dicembre, e ora Log4Shell è tornata sotto i riflettori: TunnelVision APT collegato all’Iran non ha lasciato che riposasse in pace, colpendo sfruttando le vulnerabilità di VMware Horizon Log4j, insieme a un’ampia sfruttamento delle vulnerabilità di Fortinet FortiOS (CVE-2018-13379) e Microsoft Exchange (ProxyShell).
Rilevamento delle Attività di TunnelVision
Secondo i dati attuali, l’obiettivo finale di TunnelVision è distribuire ransomware, sfruttando i server VMware Horizon non aggiornati. Controlla le regole Sigma che identificano le attività degli attori della minaccia: rileva le linee di comando utilizzate per mantenere la persistenza, il sideloading DLL e altri comportamenti sospetti associati all’ampio sfruttamento delle vulnerabilità di 1 giorno come Fortinet FortiOS, ProxyShell e Log4Shell.
Log4j RCE (CVE-2021-44228) Target in VMware Horizon tramite servizio VMBlastSG
Le regole sono fornite dai nostri sviluppatori esperti di Threat Bounty Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.
Gli attaccanti di TunnelVision sono noti per utilizzare strumenti di tunneling (da cui il nome), come Fast Reverse Proxy Client (FRPC) e Plink, per evitare il rilevamento. In questo contesto, si raccomanda fortemente a tutti i professionisti della sicurezza di condividere informazioni sulle minacce con la comunità e di sfruttare gli indicatori di compromissione disponibili. Inoltre, è saggio approfittare dell’opportunità per migliorare la vostra routine di difesa e rilevamento. Per controllare l’elenco completo dei contenuti di rilevamento, visitate la piattaforma SOC Prime. Gli esperti di cybersecurity sono più che benvenuti a unirsi al programma Threat Bounty per pubblicare contenuti SOC sulla piattaforma leader del settore e ricevere ricompense per il loro prezioso contributo.
Visualizza Rilevamenti Unisciti a Threat Bounty
Gruppo APT TunnelVision sfrutta
La sicurezza è forte quanto l’anello più debole. Qualche mese fa, la libreria Log4j è diventata la principale porta d’ingresso per gli attori delle minacce nei dispositivi e nelle reti delle vittime. Dalla Log4Shell, nota anche come Log4j o vulnerabilità critica LogJam in Apache Log4j, è emersa per la prima volta a dicembre 2021, le aziende di tutto il mondo stanno affrontando gravi preoccupazioni per la sicurezza informatica. La famigerata Log4Shell ha sbalordito la comunità della sicurezza digitale per la gravità degli incidenti, oltre alla velocità con cui si stavano accumulando. La facilità di sfruttare il bug della libreria ha consentito l’esecuzione di codice remoto non autenticato, compromettendo l’intero sistema. Ha attirato molti avversari ed è stata ampiamente sfruttata in natura.
Oggi, TunnelVision sta sfruttando la vulnerabilità Log4j, Fortinet FortiOS, e Microsoft Exchange in Medio Oriente e negli Stati Uniti come principali regioni obiettivo, riportano i ricercatori di SentinelOne. L’analisi delle TTP traccia modelli caratteristici delle organizzazioni hacker legate allo stato iraniano Nemesis Kitten, Phosphorus e Charming Kitten. researchers report. The analysis of TTPs traces patterns characteristic of Iranian state-backed hacker organizations Nemesis Kitten, Phosphorus, and Charming Kitten.
Lo sfruttamento di Log4j in VMware Horizon è caratterizzato da un processo dannoso che emerge dal servizio Tomcat del prodotto VMware. Secondo i ricercatori, gli avversari inizialmente sfruttano Log4j per eseguire comandi PowerShell e poi proseguono con comandi PS reverse shell tramite Tomcat. Con PowerShell, gli attori delle minacce scaricano strumenti di tunneling come Ngrok con l’obiettivo di installare backdoor PowerShell. Il primo pacchetto di exploit è un file zip con un eseguibile InteropServices.exe; il secondo è una versione modificata di un one-liner PowerShell ampiamente usato da hacker sponsorizzati dallo stato in campagne precedenti.
Si riporta che TunnelVision ha utilizzato un repository GitHub, “VmWareHorizon” per archiviare i payload durante l’operazione.
Conclusione
Gli APT sono un aspetto eccellente e pericoloso della struttura moderna delle minacce informatiche. La piattaforma SOC Prime aiuta a difendersi più rapidamente e in modo più efficiente dalle soluzioni di hacking su misura degli APT. Testate le capacità di streaming di contenuti del modulo CCM e aiutate la vostra organizzazione a potenziare le operazioni SOC quotidiane con l’intelligence sulle minacce informatiche. Tenete il dito sul polso dell’ambiente dinamico dei rischi per la sicurezza informatica e ottenete le migliori soluzioni di mitigazione con SOC Prime.
