Os pesquisadores da SophosLabs descobriram três backdoors e quatro criptomineradores visando servidores VMware Horizon não corrigidos para obter acesso persistente. A Sophos está lançando hoje sua pesquisa mais recente sobre a vulnerabilidade Log4j Log4Shell.
Os invasores os usam para incorporar backdoors e criar scripts de VMware Horizon Servers sem patches. Isso lhes dá acesso persistente ao VMware Horizon Server para futuros ataques de ransomware. No relatório detalhado Horda de bots de mineração e backdoors aproveitaram Log4J para atacar servidores VMware Horizon os pesquisadores da Sophos descrevem as ferramentas e técnicas para comprometer servidores, bem como três backdoors diferentes e quatro criptomineradores. Os backdoors podem vir de corretores de acesso.
Ataques Log4j e Log4Shell continuam
Log4Shell é uma vulnerabilidade na biblioteca de código Java Log4J. Se os invasores explorarem essa vulnerabilidade, eles terão a oportunidade de executar qualquer código de sistema de sua escolha. Está incorporado em centenas de produtos de software e tornou-se conhecido no final de 2021. Os vetores de ataque recentes que usam o Log4Shell para atingir servidores Horizon vulneráveis incluem:
- duas ferramentas legítimas de monitoramento e gerenciamento remoto – Atera Agent e Splashtop Streamer
- o backdoor malicioso do Sliver
- os criptomineradores z0Miner, minerador JavaX, Jin e Mimu
- vários shells reversos baseados em Power-Shell que coletam informações de dispositivo e backup
A análise da Sophos mostra que o Sliver às vezes é empacotado com scripts de criação de perfil Atera e PowerShell e é usado para fornecer variantes Jin e Mimu dos botnets do minerador XMrig Monero. Os invasores usam táticas diferentes para infectar seus alvos. Embora alguns dos ataques anteriores tenham usado o Cobalt Strike para implantar e executar os criptomineradores, a maior onda de ataques começou em meados de janeiro de 2022: eles executaram o script de instalação do criptominerador diretamente do componente Apache Tomcat do VMware Horizon Server. Esta onda de ataques ainda está ativa.
O VMware Horizon deve ser atualizado manualmente
“Aplicações generalizadas como o VMware Horizon, que requerem atualizações manuais, são particularmente vulneráveis a explorações em grande escala”, disse Sean Gallagher, pesquisador sênior de segurança da Sophos. “Nossa investigação mostra ondas de ataques aos servidores Horizon desde janeiro de 2022, trazendo vários backdoors e criptomineradores para servidores não corrigidos, além de scripts para coletar informações do dispositivo. Acreditamos que alguns dos backdoors podem ser fornecidos por corretores de acesso que procuram acesso remoto persistente e podem, por sua vez, vendê-lo a outros invasores, semelhantes aos operadores de ransomware”.
O que as empresas devem fazer agora
A análise da Sophos indica que vários oponentes estão realizando esses ataques. A etapa preventiva mais importante seria, portanto, atualizar todos os dispositivos e aplicativos com a versão corrigida do software que contém o Log4J, incluindo o VMware Horizon corrigido, se as organizações usarem os aplicativos em suas redes. O Log4J está instalado em centenas de produtos de software, e muitas empresas desconhecem a vulnerabilidade oculta em sua infraestrutura, especialmente software comercial, de código aberto ou personalizado que carece de manutenção regular de segurança.
Mesmo os programas corrigidos não oferecem proteção se os invasores já puderem instalar um shell da web ou um backdoor de rede. Defender em profundidade e agir imediatamente em qualquer indicação de, por exemplo, garimpeiros e outras atividades incomuns é crucial para evitar ser vítima de tais ataques.
A Sophos continuou monitorando de perto a atividade de ataque relacionada à vulnerabilidade Log4Shell e divulgou vários relatórios tecnicamente detalhados e consultivos:
- Log4Shell Hell - Anatomia de um surto de Exploit,
- Recomendações de resposta e mitigação do Log4Shell,
- Dentro do código: como funciona o exploit Log4Shell,
- Log4Shell: sem abuso em massa, mas sem trégua, o que aconteceu?
Sobre a Sophos A Sophos tem a confiança de mais de 100 milhões de usuários em 150 países. Oferecemos a melhor proteção contra ameaças complexas de TI e perda de dados. Nossas soluções de segurança abrangentes são fáceis de implantar, usar e gerenciar. Eles oferecem o menor custo total de propriedade do setor. A Sophos oferece soluções de criptografia premiadas, soluções de segurança para endpoints, redes, dispositivos móveis, e-mail e web. Também há suporte da SophosLabs, nossa rede global de centros de análise proprietários. A sede da Sophos fica em Boston, EUA e Oxford, Reino Unido.