Grupo APT TunnelVision Explora o Log4j
Índice:
Um dos exploits mais notórios de 2021 fez sua estreia barulhenta no mundo da cibersegurança em dezembro, e agora Log4Shell está de volta ao radar: o APT TunnelVision ligado ao Irã não o deixou descansar em paz, atacando com lucro sobre as vulnerabilidades do VMware Horizon Log4j, junto com a exploração em larga escala do Fortinet FortiOS (CVE-2018-13379) e Microsoft Exchange (ProxyShell).
Detecção de Atividades do TunnelVision
De acordo com os dados atuais, o objetivo final do TunnelVision é distribuir ransomware, aproveitando servidores VMware Horizon não corrigidos. Confira as regras Sigma que identificam atividades do agente de ameaça: detectar linhas de comando usadas para manter a persistência, carregamento de DLL e outros comportamentos suspeitos associados à ampla exploração de vulnerabilidades de 1 dia como Fortinet FortiOS, ProxyShell e Log4Shell.
Log4j RCE (CVE-2021-44228) Alvo no VMware Horizon via Serviço VMBlastSG
As regras são fornecidas pelos nossos desenvolvedores atentos de Threat Bounty Sittikorn Sangrattanapitak, Aytek Aytemur, Nattatorn Chuensangarun, Emir Erdogan.
Os atacantes do TunnelVision comprovadamente usam ferramentas de tunelamento (daí o nome), como Fast Reverse Proxy Client (FRPC) e Plink, para evitar a detecção. Neste ambiente, é fortemente recomendado que todos os profissionais de segurança compartilhem inteligência de ameaças com a comunidade e aproveitem os indicadores de comprometimento disponíveis. Além disso, é sensato aproveitar a oportunidade para elevar sua rotina de defesa e detecção. Para verificar a lista completa de conteúdo de detecção, visite a plataforma SOC Prime. Adeptos da cibersegurança são mais que bem-vindos a participar do programa de Threat Bounty para publicar conteúdo SOC na plataforma líder da indústria e serem recompensados por suas valiosas contribuições.
Ver Detecções Junte-se ao Threat Bounty
Grupo APT TunnelVision Explora
A segurança é tão forte quanto o elo mais fraco. Há alguns meses, a biblioteca Log4j se tornou a principal porta de entrada para agentes de ameaças em dispositivos e redes das vítimas. Desde Log4Shell, também conhecida como Log4j ou LogJam, uma vulnerabilidade crítica no Apache Log4j, apareceu pela primeira vez em dezembro de 2021, empresas em todo o mundo estão enfrentando graves preocupações com cibersegurança. A notória Log4Shell surpreendeu a comunidade de segurança digital pela gravidade dos incidentes, bem como pela rapidez com que estavam aumentando. A facilidade de explorar o bug da biblioteca permitiu uma execução remota de código não autenticada que garantia o comprometimento total do sistema. Isso atraiu muitos adversários e foi amplamente explorado em campo aberto.
Hoje, o TunnelVision está explorando a vulnerabilidade do Log4j, Fortinet FortiOS e Microsoft Exchange no Oriente Médio e nos EUA como as principais regiões-alvo, relatam pesquisadores da SentinelOne. A análise de TTPs traça padrões característicos de organizações de hackers apoiados pelo estado iraniano Nemesis Kitten, Phosphorus e Charming Kitten. researchers report. The analysis of TTPs traces patterns characteristic of Iranian state-backed hacker organizations Nemesis Kitten, Phosphorus, and Charming Kitten.
A exploração do Log4j no VMware Horizon é marcada por um processo malicioso que surge do serviço Tomcat do produto VMware. Segundo os pesquisadores, os adversários inicialmente exploram o Log4j para executar comandos PowerShell e depois continuam com comandos de shells reversos PS via Tomcat. Com o PowerShell, os agentes de ameaça baixam ferramentas de tunelamento como Ngrok com o objetivo de implantar backdoors PowerShell. O primeiro pacote de exploit é um arquivo zip com um executável InteropServices.exe; o segundo é uma versão modificada de um one-liner PowerShell que tem sido amplamente usado por hackers patrocinados pelo estado em campanhas anteriores.
Foi relatado que o TunnelVision usou um repositório GitHub, “VmWareHorizon”, para armazenar as cargas úteis durante toda a operação.
Concluindo
APTs são um aspecto excelso e perigoso do moderno quadro de ameaças cibernéticas. A plataforma SOC Prime ajuda a se defender contra soluções de hacking personalizadas de APTs de forma mais rápida e eficiente. Teste as capacidades de streaming de conteúdo do módulo CCM e ajude sua organização a impulsionar as operações diárias do SOC com inteligência sobre ameaças cibernéticas. Mantenha o dedo no pulso do ambiente acelerado de riscos cibernéticos e obtenha as melhores soluções de mitigação com SOC Prime.
