Les chercheurs des SophosLabs ont découvert trois portes dérobées et quatre cryptomineurs ciblant des serveurs VMware Horizon non corrigés pour obtenir un accès persistant. Sophos publie aujourd'hui ses dernières recherches sur la vulnérabilité Log4j Log4Shell.
Les attaquants les utilisent pour intégrer des portes dérobées et des scripts de serveurs VMware Horizon non corrigés. Cela leur donne un accès permanent à VMware Horizon Server pour les futures attaques de ransomwares. Dans le rapport détaillé Une horde de robots mineurs et de portes dérobées a exploité Log4J pour attaquer les serveurs VMware Horizon les chercheurs de Sophos décrivent les outils et techniques pour compromettre les serveurs, ainsi que trois portes dérobées différentes et quatre cryptomineurs. Les portes dérobées peuvent provenir de courtiers d'accès.
Les attaques Log4j et Log4Shell continuent
Log4Shell est une vulnérabilité de la bibliothèque de code Java Log4J. Si les attaquants exploitent cette vulnérabilité, ils ont la possibilité d'exécuter n'importe quel code système de leur choix. Il est intégré dans des centaines de produits logiciels et s'est fait connaître fin 2021. Les vecteurs d'attaque récents utilisant Log4Shell pour cibler les serveurs Horizon vulnérables incluent :
- deux outils de surveillance et de gestion à distance légitimes - Atera Agent et Splashtop Streamer
- la porte dérobée Sliver malveillante
- les cryptomineurs z0Miner, JavaX miner, Jin et Mimu
- divers shells inversés basés sur Power-Shell qui collectent des informations sur les périphériques et les sauvegardes
L'analyse de Sophos montre que Sliver est parfois associé aux scripts de profilage Atera et PowerShell et est utilisé pour fournir les variantes Jin et Mimu des botnets mineurs XMrig Monero. Les attaquants utilisent différentes tactiques pour infecter leurs cibles. Alors que certaines des attaques précédentes utilisaient Cobalt Strike pour déployer et exécuter les cryptomineurs, la plus grande vague d'attaques a commencé à la mi-janvier 2022 : elles ont exécuté le script d'installation du cryptomineur directement à partir du composant Apache Tomcat de VMware Horizon Server. Cette vague d'attaques est toujours active.
VMware Horizon doit être mis à jour manuellement
"Les applications répandues comme VMware Horizon qui nécessitent des mises à jour manuelles sont particulièrement vulnérables aux exploits à grande échelle", a déclaré Sean Gallagher, chercheur senior en sécurité chez Sophos. "Notre enquête montre des vagues d'attaques sur les serveurs Horizon depuis janvier 2022, amenant diverses portes dérobées et cryptomineurs sur des serveurs non corrigés, ainsi que des scripts pour collecter des informations sur les appareils. Nous pensons que certaines des portes dérobées pourraient être fournies par des courtiers d'accès qui recherchent un accès à distance persistant et peuvent à leur tour le vendre à d'autres attaquants, similaires aux opérateurs de ransomware.
Ce que les entreprises devraient faire maintenant
L'analyse de Sophos indique que plusieurs opposants mènent ces attaques. L'étape préventive la plus importante serait donc de mettre à jour tous les appareils et applications avec la version corrigée du logiciel contenant Log4J, y compris VMware Horizon corrigé, si les organisations utilisent les applications dans leurs réseaux. Log4J est installé dans des centaines de produits logiciels, et de nombreuses entreprises ignorent la vulnérabilité qui se cache dans leur infrastructure, en particulier les logiciels commerciaux, open source ou personnalisés qui manquent d'une maintenance de sécurité régulière.
Même les programmes corrigés n'offrent aucune protection si les attaquants ont déjà pu installer un shell Web ou une porte dérobée du réseau. Se défendre en profondeur et agir immédiatement sur toute indication, par exemple de prospecteurs et d'autres activités inhabituelles, est crucial pour éviter de devenir la proie de telles attaques.
Sophos a continué à surveiller de près les activités d'attaque liées à la vulnérabilité Log4Shell et a publié un certain nombre de rapports techniquement détaillés et consultatifs :
- Log4Shell Hell - Anatomie d'une épidémie d'exploit,
- Recommandations de réponse et d'atténuation de Log4Shell,
- À l'intérieur du code : comment fonctionne l'exploit Log4Shell,
- Log4Shell : Pas d'abus de masse, mais pas de répit, que s'est-il passé ?
À propos de Sophos Plus de 100 millions d'utilisateurs dans 150 pays font confiance à Sophos. Nous offrons la meilleure protection contre les menaces informatiques complexes et la perte de données. Nos solutions de sécurité complètes sont faciles à déployer, à utiliser et à gérer. Ils offrent le coût total de possession le plus bas du secteur. Sophos propose des solutions de chiffrement primées, des solutions de sécurité pour les terminaux, les réseaux, les appareils mobiles, la messagerie et le Web. Vous bénéficiez également de l'assistance des SophosLabs, notre réseau mondial de centres d'analyse propriétaires. Le siège social de Sophos se trouve à Boston, aux États-Unis, et à Oxford, au Royaume-Uni.