SophosLabs araştırmacıları, kalıcı erişim elde etmek için yama uygulanmamış VMware Horizon sunucularını hedefleyen üç arka kapı ve dört kripto madencisi keşfetti. Sophos bugün Log4j Log4Shell güvenlik açığıyla ilgili en son araştırmasını yayınlıyor.
Saldırganlar bunları arka kapıları gömmek ve yama uygulanmamış VMware Horizon Sunucularına komut dosyası yazmak için kullanır. Bu, onlara gelecekteki fidye yazılımı saldırıları için VMware Horizon Server'a kalıcı erişim sağlar. detaylı raporda Horde of Miner Bots ve Backdoors, VMware Horizon Sunucularına Saldırmak İçin Log4J'den Yararlandı Sophos araştırmacıları, üç farklı arka kapı ve dört kripto madencinin yanı sıra sunucuları tehlikeye atmak için kullanılan araçları ve teknikleri açıklıyor. Arka kapılar erişim aracılarından gelebilir.
Log4j ve Log4Shell saldırıları devam ediyor
Log4Shell, Log4J Java kod kitaplığındaki bir güvenlik açığıdır. Saldırganlar bu güvenlik açığından yararlanırsa, kendilerine istedikleri sistem kodunu çalıştırma fırsatı verilir. Yüzlerce yazılım ürününün içine gömüldü ve 2021'in sonunda bilinir hale geldi. Savunmasız Horizon Sunucularını hedeflemek için Log4Shell kullanan son saldırı vektörleri şunları içerir:
- iki meşru uzaktan izleme ve yönetim aracı – Atera Agent ve Splashtop Streamer
- kötü niyetli Sliver arka kapısı
- kripto madencileri z0Miner, JavaX madenci, Jin ve Mimu
- cihaz ve yedekleme bilgilerini toplayan çeşitli Power-Shell tabanlı ters kabuklar
Sophos analizi, Sliver'ın bazen Atera ve PowerShell profil oluşturma komut dosyalarıyla birlikte verildiğini ve XMrig Monero madenci bot ağlarının Jin ve Mimu türevlerini sunmak için kullanıldığını gösteriyor. Saldırganlar, hedeflerine bulaşmak için farklı taktikler kullanır. Daha önceki saldırılardan bazıları kripto madencileri dağıtmak ve çalıştırmak için Cobalt Strike kullanırken, en büyük saldırı dalgası 2022 Ocak ayının ortasında başladı: Cryptominer kurulum komut dosyasını doğrudan VMware Horizon Server'ın Apache Tomcat bileşeninden çalıştırdılar. Bu saldırı dalgası hala aktif.
VMware Horizon manuel olarak güncellenmelidir
Sophos'ta kıdemli güvenlik araştırmacısı Sean Gallagher, "Manuel güncellemeler gerektiren VMware Horizon gibi yaygın uygulamalar, büyük ölçekli istismarlara karşı özellikle savunmasızdır" dedi. "Araştırmamız, Ocak 2022'den bu yana Horizon sunucularına yönelik saldırı dalgalarının, yama uygulanmamış sunuculara çeşitli arka kapılar ve kripto madencilerinin yanı sıra cihaz bilgilerini toplamak için komut dosyaları getirdiğini gösteriyor. Bazı arka kapıların, kalıcı uzaktan erişim arayan ve karşılığında bunu fidye yazılımı operatörlerine benzer şekilde diğer saldırganlara satabilen erişim simsarları tarafından sağlanabileceğine inanıyoruz.”
Şirketlerin şimdi yapması gerekenler
Sophos analizi, birkaç rakibin bu saldırıları gerçekleştirdiğini gösteriyor. Bu nedenle en önemli önleyici adım, kuruluşların uygulamaları ağlarında kullanması durumunda, yamalı VMware Horizon da dahil olmak üzere Log4J içeren yazılımın yamalı sürümü ile tüm cihaz ve uygulamaları güncellemek olacaktır. Log4J yüzlerce yazılım ürününe kuruludur ve birçok şirket, özellikle ticari, açık kaynaklı veya düzenli güvenlik bakımından yoksun özel yazılımlar olmak üzere altyapılarında gizlenen güvenlik açığından habersizdir.
Saldırganlar halihazırda bir web kabuğu veya ağ arka kapısı kurabilmişse, yama uygulanmış programlar bile koruma sağlamaz. Derinlemesine savunmaya ek olarak, maden arayıcıları ve diğer olağan dışı faaliyetlere ilişkin herhangi bir belirti üzerine derhal harekete geçmek, bu tür saldırıların tuzağına düşmemek için çok önemlidir.
Sophos, Log4Shell güvenlik açığıyla ilgili saldırı etkinliğini yakından izlemeye devam etti ve teknik olarak ayrıntılı ve tavsiye niteliğinde bir dizi rapor yayınladı:
- Log4Shell Cehennemi - Bir İstismar Salgını Anatomisi,
- Log4Shell Yanıtı ve Azaltma Önerileri,
- Kodun İçinde: Log4Shell İstismarı Nasıl Çalışır?,
- Log4Shell: Toplu İstismar Yok Ama Mühlet Yok, Ne Oldu?
Sophos Hakkında Sophos, 100 ülkede 150 milyondan fazla kullanıcı tarafından güvenilmektedir. Karmaşık BT tehditlerine ve veri kaybına karşı en iyi korumayı sunuyoruz. Kapsamlı güvenlik çözümlerimizin kurulumu, kullanımı ve yönetimi kolaydır. Sektördeki en düşük toplam sahip olma maliyetini sunarlar. Sophos uç noktalar, ağlar, mobil cihazlar, e-posta ve web için ödüllü şifreleme çözümleri ve güvenlik çözümleri sunar. Tescilli analiz merkezlerinden oluşan küresel ağımız SophosLabs'tan da destek var. Sophos'un genel merkezi Boston, ABD ve Oxford, İngiltere'dedir.