Дослідники SophosLabs виявили три бекдори та чотири криптомайнери, націлені на невиправлені сервери VMware Horizon, щоб отримати постійний доступ. Sophos сьогодні публікує своє останнє дослідження вразливості Log4j Log4Shell.
Зловмисники використовують їх для вбудовування бекдорів і сценаріїв серверів VMware Horizon без латок. Це дає їм постійний доступ до VMware Horizon Server для майбутніх атак програм-вимагачів. У детальному звіті Орда ботів-майнерів і бекдорів використала Log4J для атаки на сервери VMware Horizon Дослідники Sophos описують інструменти та методи зламу серверів, а також три різні бекдори та чотири криптомайнери. Задні двері можуть надходити від посередників доступу.
Атаки Log4j і Log4Shell тривають
Log4Shell — це вразливість у бібліотеці коду Java Log4J. Якщо зловмисники використовують цю вразливість, вони отримують можливість виконати будь-який системний код на свій вибір. Він вбудований в сотні програмних продуктів і став відомий наприкінці 2021 року. Останні вектори атак із використанням Log4Shell для націлювання на вразливі сервери Horizon включають:
- два законних інструменти віддаленого моніторингу та керування – Atera Agent і Splashtop Streamer
- шкідливий бекдор Sliver
- криптомайнери z0Miner, JavaX miner, Jin і Mimu
- різні зворотні оболонки на основі Power-Shell, які збирають інформацію про пристрої та резервні копії
Аналіз Sophos показує, що Sliver іноді додається до сценаріїв профілювання Atera та PowerShell і використовується для доставки варіантів Jin і Mimu ботнетів майнера XMrig Monero. Зловмисники використовують різні тактики, щоб заразити свої цілі. Хоча деякі з попередніх атак використовували Cobalt Strike для розгортання та запуску криптомайнерів, найбільша хвиля атак почалася в середині січня 2022 року: вони запускали сценарій встановлення криптомайнера безпосередньо з компонента Apache Tomcat сервера VMware Horizon Server. Ця хвиля атак продовжується.
VMware Horizon потрібно оновлювати вручну
«Широко поширені програми, такі як VMware Horizon, які потребують ручного оновлення, особливо вразливі до великомасштабних експлойтів», — сказав Шон Галлахер, старший дослідник безпеки в Sophos. «Наше розслідування показує хвилі атак на сервери Horizon із січня 2022 року, приносячи різні бекдори та криптомайнери на невиправлені сервери, а також скрипти для збору інформації про пристрої. Ми вважаємо, що деякі з бекдорів можуть бути надані брокерами доступу, які шукають постійний віддалений доступ і можуть, у свою чергу, продати його іншим зловмисникам, подібним до операторів програм-вимагачів».
Що компанії мають зробити зараз
Аналіз Sophos показує, що ці атаки здійснюють кілька противників. Таким чином, найважливішим профілактичним кроком було б оновити всі пристрої та програми за допомогою виправленої версії програмного забезпечення, яке містить Log4J, включаючи виправлену VMware Horizon, якщо організації використовують програми у своїх мережах. Log4J встановлено в сотнях програмних продуктів, і багато компаній не знають про вразливість, що ховається в їхній інфраструктурі, особливо в комерційному програмному забезпеченні з відкритим вихідним кодом або на замовлення, яке не потребує регулярного обслуговування безпеки.
Навіть виправлені програми не забезпечують захисту, якщо зловмисники вже змогли встановити веб-оболонку або мережевий бекдор. Глибокий захист і негайні дії за будь-якої ознаки, наприклад, старателів та інших незвичайних дій є вкрай важливими, щоб не стати жертвою таких атак.
Компанія Sophos продовжила уважно стежити за діяльністю атак, пов’язаних із уразливістю Log4Shell, і опублікувала низку технічно докладних і консультативних звітів:
- Log4Shell Hell – анатомія спалаху експлойтів,
- Відповідь Log4Shell і рекомендації щодо пом’якшення,
- Всередині коду: як працює експлойт Log4Shell,
- Log4Shell: без масових зловживань, але без перепочинку, що трапилося?
Про Софос Sophos довіряють понад 100 мільйонів користувачів у 150 країнах. Ми пропонуємо найкращий захист від складних ІТ-загроз і втрати даних. Наші комплексні рішення безпеки прості в розгортанні, використанні та керуванні. Вони пропонують найнижчу сукупну вартість володіння в галузі. Sophos пропонує відзначені нагородами рішення для шифрування, рішення безпеки для кінцевих точок, мереж, мобільних пристроїв, електронної пошти та Інтернету. Також є підтримка від SophosLabs, нашої глобальної мережі власних аналітичних центрів. Штаб-квартири Sophos знаходяться в Бостоні, США, та Оксфорді, Великобританія.