Log4Shell exploité pour infecter les serveurs VMware Horizon avec des portes dérobées, des crypto-mineurs

La vulnérabilité Log4Shell est activement exploitée pour fournir des portes dérobées et des mineurs de crypto-monnaie aux serveurs VMware Horizon vulnérables.

Mardi, les chercheurs en cybersécurité de Sophos dit les attentats ont été détectés pour la première fois à la mi-janvier et sont en cours. Non seulement des portes dérobées et des mineurs de crypto-monnaie sont en cours d’exécution, mais en plus, des scripts sont utilisés pour collecter et voler des informations sur les appareils.

Log4Shell est une vulnérabilité critique dans la bibliothèque de journalisation Java Apache Log4J. La vulnérabilité d’exécution de code à distance non authentifiée (RCE) a été rendue publique en décembre 2021 et est suivie comme CVE-2021-44228 avec un score CVSS de 10,0.

des chercheurs être en alerte que Log4Shell est susceptible de continuer pendant des années, surtout compte tenu de la simple exploitation du bogue.

Microsoft précédemment détecté Attaques Log4Shell menées par des cybercriminels parrainés par l’État, mais la plupart semblent se concentrer sur l’extraction de crypto-monnaie, les ransomwares et les activités de bot. Un correctif a été publié en décembre 2021, mais comme c’est souvent le cas avec les serveurs connectés à Internet, de nombreux systèmes n’ont pas été mis à jour.

Selon Sophos, les dernières attaques Log4Shell ciblent les serveurs VMware Horizon non corrigés avec trois portes dérobées différentes et quatre mineurs de crypto-monnaie.

Les attaquants à l’origine de la campagne exploitent le bogue pour obtenir l’accès aux serveurs vulnérables. Une fois qu’ils ont infiltré le système, l’agent Atera ou Splashtop Streamer, deux progiciels de surveillance à distance légitimes, peuvent être installés, avec leur objectif déformé pour devenir des outils de surveillance de porte dérobée.

L’autre porte dérobée détectée par Sophos est Silver, un implant de sécurité offensif open source publié pour être utilisé par les testeurs de stylo et les équipes rouges.

Sophos indique que quatre mineurs sont liés à cette vague d’attaques : z0Miner, le mineur JavaX, Jin et Mimu, qui exploitent Monero (XMR). Précédemment, Trend Micro ont découvert que les opérateurs de z0Miner exploitaient Atlassian Confluence RCE (CVE-2021-26084) pour des attaques de cryptojacking.

Une URL PowerShell connectée à ces deux campagnes suggère qu’il peut également y avoir un lien, bien que cela soit incertain.

“Alors que z0Miner, JavaX et certaines autres charges utiles étaient téléchargées directement par les shells Web utilisés pour la compromission initiale, les bots Jin étaient liés à l’utilisation de Sliver et utilisaient les mêmes portefeuilles que Mimo – suggérant ces trois logiciels malveillants. [strains] ont été utilisés par le même acteur », expliquent les chercheurs.

De plus, les chercheurs ont découvert des preuves de déploiement de shell inversé conçu pour collecter des informations sur les périphériques et les sauvegardes.

« Log4J est installé dans des centaines de produits logiciels et de nombreuses organisations peuvent ignorer la vulnérabilité qui se cache dans leur infrastructure, en particulier dans les logiciels commerciaux, open source ou personnalisés qui ne bénéficient pas d’un support de sécurité régulier », a commenté Sean Gallagher, senior Sophos. chercheur en sécurité. “Et bien que les correctifs soient vitaux, ils ne suffiront pas si les attaquants ont déjà pu installer un shell Web ou une porte dérobée sur le réseau.”

Couverture précédente et connexe


Vous avez un conseil ? Entrez en contact en toute sécurité via WhatsApp | Signal au +447713 025 499, ou plus à Keybase : charlie0


Leave a Comment