I ricercatori di SophosLabs hanno scoperto tre backdoor e quattro cryptominer che prendono di mira i server VMware Horizon privi di patch per ottenere un accesso permanente. Sophos pubblica oggi la sua ultima ricerca sulla vulnerabilità Log4j Log4Shell.
Gli aggressori li utilizzano per incorporare backdoor e creare script per VMware Horizon Server senza patch. Ciò offre loro un accesso permanente a VMware Horizon Server per futuri attacchi ransomware. Nel rapporto dettagliato Un'orda di bot miner e backdoor ha sfruttato Log4J per attaccare i server VMware Horizon i ricercatori Sophos descrivono gli strumenti e le tecniche per compromettere i server, oltre a tre diverse backdoor e quattro cryptominer. Le backdoor possono provenire da broker di accesso.
Gli attacchi Log4j e Log4Shell continuano
Log4Shell è una vulnerabilità nella libreria di codice Java Log4J. Se gli aggressori sfruttano questa vulnerabilità, hanno la possibilità di eseguire qualsiasi codice di sistema di loro scelta. È incorporato in centinaia di prodotti software ed è diventato noto alla fine del 2021. I recenti vettori di attacco che utilizzano Log4Shell per prendere di mira i server Horizon vulnerabili includono:
- due legittimi strumenti di monitoraggio e gestione remota: Atera Agent e Splashtop Streamer
- la dannosa backdoor di Sliver
- i cryptominer z0Miner, JavaX miner, Jin e Mimu
- varie shell inverse basate su Power-Shell che raccolgono informazioni sul dispositivo e sul backup
L'analisi di Sophos mostra che Sliver a volte viene fornito in bundle con script di profilazione Atera e PowerShell e viene utilizzato per fornire varianti Jin e Mimu delle botnet miner XMrig Monero. Gli aggressori usano tattiche diverse per infettare i loro bersagli. Mentre alcuni degli attacchi precedenti utilizzavano Cobalt Strike per distribuire ed eseguire i cryptominer, la più grande ondata di attacchi è iniziata a metà gennaio 2022: hanno eseguito lo script di installazione del cryptominer direttamente dal componente Apache Tomcat di VMware Horizon Server. Questa ondata di attacchi è ancora attiva.
VMware Horizon deve essere aggiornato manualmente
"Le applicazioni diffuse come VMware Horizon che richiedono aggiornamenti manuali sono particolarmente vulnerabili agli exploit su larga scala", ha dichiarato Sean Gallagher, senior security researcher di Sophos. “La nostra indagine mostra ondate di attacchi ai server Horizon dal gennaio 2022, portando varie backdoor e cryptominer a server privi di patch, oltre a script per raccogliere informazioni sul dispositivo. Riteniamo che alcune delle backdoor potrebbero essere fornite da broker di accesso che cercano un accesso remoto persistente e possono a loro volta venderlo ad altri aggressori, simili agli operatori di ransomware”.
Cosa dovrebbero fare le aziende adesso
L'analisi di Sophos indica che diversi oppositori stanno effettuando questi attacchi. Il passaggio preventivo più importante sarebbe quindi aggiornare tutti i dispositivi e le applicazioni con la versione con patch del software che contiene Log4J, incluso VMware Horizon con patch, se le organizzazioni utilizzano le applicazioni nelle loro reti. Log4J è installato in centinaia di prodotti software e molte aziende non sono consapevoli della vulnerabilità in agguato all'interno della loro infrastruttura, in particolare software commerciale, open source o personalizzato che non dispone di una regolare manutenzione della sicurezza.
Anche i programmi con patch non offrono alcuna protezione se gli aggressori sono già in grado di installare una web shell o una backdoor di rete. Difendersi in profondità e agire immediatamente su qualsiasi indicazione, ad esempio, di cercatori d'acqua e altre attività insolite è fondamentale per evitare di cadere preda di tali attacchi.
Sophos ha continuato a monitorare da vicino l'attività di attacco relativa alla vulnerabilità Log4Shell e ha rilasciato una serie di rapporti tecnicamente dettagliati e consultivi:
- Log4Shell Hell - Anatomia di un'epidemia di exploit,
- Log4Shell Risposta e raccomandazioni di mitigazione,
- All'interno del codice: come funziona l'exploit Log4Shell,
- Log4Shell: nessun abuso di massa, ma nessuna tregua, cosa è successo?
A proposito di Sophos Sophos gode della fiducia di oltre 100 milioni di utenti in 150 paesi. Offriamo la migliore protezione contro le minacce informatiche complesse e la perdita di dati. Le nostre soluzioni di sicurezza complete sono facili da implementare, utilizzare e gestire. Offrono il costo totale di proprietà più basso del settore. Sophos offre soluzioni di crittografia pluripremiate, soluzioni di sicurezza per endpoint, reti, dispositivi mobili, e-mail e web. C'è anche il supporto dei SophosLabs, la nostra rete globale di centri di analisi proprietari. Le sedi di Sophos sono a Boston, USA e Oxford, UK.