Los investigadores de SophosLabs descubrieron tres puertas traseras y cuatro criptomineros dirigidos a servidores VMware Horizon sin parches para obtener acceso persistente. Sophos publica hoy su última investigación sobre la vulnerabilidad Log4j Log4Shell.
Los atacantes los utilizan para incrustar puertas traseras y generar secuencias de comandos en servidores VMware Horizon sin parches. Esto les brinda acceso persistente a VMware Horizon Server para futuros ataques de ransomware. En el informe detallado Horda de bots mineros y puertas traseras aprovecharon Log4J para atacar servidores VMware Horizon los investigadores de Sophos describen las herramientas y técnicas para comprometer servidores, así como tres puertas traseras diferentes y cuatro criptomineros. Las puertas traseras pueden provenir de intermediarios de acceso.
Los ataques Log4j y Log4Shell continúan
Log4Shell es una vulnerabilidad en la biblioteca de código Java de Log4J. Si los atacantes aprovechan esta vulnerabilidad, tienen la oportunidad de ejecutar cualquier código de sistema de su elección. Está integrado en cientos de productos de software y se dio a conocer a fines de 2021. Los vectores de ataque recientes que usan Log4Shell para apuntar a servidores Horizon vulnerables incluyen:
- dos herramientas legítimas de administración y monitoreo remoto: Atera Agent y Splashtop Streamer
- la puerta trasera maliciosa de Sliver
- los criptomineros z0Miner, JavaX miner, Jin y Mimu
- varios shells inversos basados en Power-Shell que recopilan información de dispositivos y copias de seguridad
El análisis de Sophos muestra que Sliver a veces se incluye con scripts de creación de perfiles de Atera y PowerShell y se utiliza para entregar variantes Jin y Mimu de las redes de bots mineros XMrig Monero. Los atacantes usan diferentes tácticas para infectar a sus objetivos. Si bien algunos de los ataques anteriores utilizaron Cobalt Strike para implementar y ejecutar los criptomineros, la ola más grande de ataques comenzó a mediados de enero de 2022: ejecutaron el script de instalación del criptominero directamente desde el componente Apache Tomcat de VMware Horizon Server. Esta ola de ataques sigue activa.
VMware Horizon debe actualizarse manualmente
“Las aplicaciones generalizadas como VMware Horizon que requieren actualizaciones manuales son particularmente vulnerables a las vulnerabilidades a gran escala”, dijo Sean Gallagher, investigador principal de seguridad de Sophos. “Nuestra investigación muestra oleadas de ataques a los servidores de Horizon desde enero de 2022, trayendo varias puertas traseras y criptomineros a servidores sin parches, además de scripts para recopilar información del dispositivo. Creemos que algunas de las puertas traseras podrían ser proporcionadas por corredores de acceso que buscan acceso remoto persistente y, a su vez, pueden venderlo a otros atacantes, de forma similar a los operadores de ransomware”.
Lo que las empresas deben hacer ahora
El análisis de Sophos indica que varios opositores están realizando estos ataques. Por lo tanto, el paso preventivo más importante sería actualizar todos los dispositivos y aplicaciones con la versión parcheada del software que contiene Log4J, incluido VMware Horizon parcheado, si las organizaciones utilizan las aplicaciones en sus redes. Log4J está instalado en cientos de productos de software, y muchas empresas desconocen la vulnerabilidad que acecha dentro de su infraestructura, especialmente el software comercial, de código abierto o personalizado que carece de un mantenimiento de seguridad regular.
Incluso los programas parcheados no ofrecen protección si los atacantes ya pudieron instalar un shell web o una puerta trasera de red. La defensa en profundidad y la actuación inmediata ante cualquier indicación de, por ejemplo, buscadores de oro y otras actividades inusuales es crucial para evitar ser víctima de este tipo de ataques.
Sophos ha continuado monitoreando de cerca la actividad de ataque relacionada con la vulnerabilidad de Log4Shell y ha publicado una serie de informes de asesoramiento y técnicamente detallados:
- Log4Shell Hell - Anatomía de un brote de explotación,
- Recomendaciones de respuesta y mitigación de Log4Shell,
- Dentro del código: cómo funciona el exploit Log4Shell,
- Log4Shell: Sin abuso masivo, pero sin respiro, ¿qué pasó?
Acerca de Sophos Sophos cuenta con la confianza de más de 100 millones de usuarios en 150 países. Ofrecemos la mejor protección contra amenazas informáticas complejas y pérdida de datos. Nuestras soluciones integrales de seguridad son fáciles de implementar, usar y administrar. Ofrecen el costo total de propiedad más bajo de la industria. Sophos ofrece soluciones de cifrado galardonadas, soluciones de seguridad para terminales, redes, dispositivos móviles, correo electrónico y web. También cuenta con el soporte de SophosLabs, nuestra red global de centros de análisis patentados. Las oficinas centrales de Sophos se encuentran en Boston, EE. UU. y Oxford, Reino Unido.