Sophos alerta como invasores usam a vulnerabilidade Log4Shell

A Sophos, empresa global de cibersegurança, divulgou que cibercriminosos estão usando a vulnerabilidade Log4Shell para fornecer backdoors e scripts de criação de perfil para servidores VMware Horizon desatualizados, abrindo caminho para acesso persistente e futuros ataques de ransomware. A pesquisa, intitulada “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers”, detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores. Os backdoors foram possivelmente lançados via Initial Access Brokers.

O Log4Shell é uma vulnerabilidade de execução remota de código no componente de log Java, o Apache Log4J, incorporado em centenas de produtos de software. Essa vulnerabilidade foi relatada anteriormente e corrigida em dezembro de 2021.

“Aplicativos usados amplamente, como o VMware Horizon, que estão expostos na Internet e precisam ser atualizados de forma manual, são particularmente vulneráveis ​​à exploração em escala”, explica Sean Gallagher, pesquisador sênior de Segurança da Sophos. “A pesquisa revela ondas de ataques direcionados aos servidores Horizon, a partir de janeiro, que lançam uma série de backdoors e criptomineradores para servidores desatualizados, bem como scripts para coletar informações de dispositivos. A Sophos acredita que alguns desses backdoors podem ser implementados por Initial Access Brokers para proteger o acesso remoto persistente a um alvo de alto valor – que eles podem vender para outros invasores, como operadores de ransomware”, comentou..

As formas de ataque que a Sophos detectou por meio do Log4Shell para direcionar servidores Horizon vulneráveis ​​incluem:

– Duas ferramentas legítimas de monitoramento e gerenciamento remoto, agente Atera e Splashtop Streamer, provavelmente destinadas ao uso malicioso como em backdoors;

– Backdoor malicioso chamado de Sliver;

– Criptomineradores z0Miner, JavaX miner, Jin e Mimu;

– Shells reversos – técnica utilizada para enviar comandos de um shell remotamente por um ponto de entrada – baseados em PowerShell que coletam informações de dispositivos e backups.

A análise também revelou que em algumas ocasiões o Sliver é entregue junto a scripts de criação de perfil Atera e PowerShell, e é usado para lançar as variantes Jin e Mimu do botnet do minerador XMrig Monero.

De acordo com a Sophos, os cibercriminosos estão usando diversas abordagens para infectar os alvos. Enquanto alguns dos ataques anteriores utilizaram o Cobalt Strike para preparar e executar as funções úteis do criptominerador, a maior onda de ataques, que começou em meados de janeiro de 2022, executou o script do instalador do criptominerador diretamente do componente Apache Tomcat do servidor VMware Horizon. E essa onda de ataques ainda está em andamento.

“As descobertas da Sophos apontam que cibercriminosos estão implementando esses ataques, portanto, a etapa mais importante de proteção é atualizar todos os dispositivos e aplicativos que usam o Log4J com a versão corrigida do software. Isso inclui opções atualizadas do VMWare Horizon se as organizações usarem o aplicativo na rede”, explica Gallagher. “O Log4J está instalado em centenas de produtos de software e muitas organizações podem não estar cientes da vulnerabilidade escondida em sua infraestrutura, principalmente em softwares comerciais, de código aberto ou personalizado que não têm suporte de segurança regular. E, embora a correção seja vital, não será suficiente se os invasores já tiverem instalado um web shell ou backdoor na rede. A defesa em profundidade e a atuação em qualquer detecção de mineradores e outras atividades anômalas é fundamental para evitar ser vítima de tais ataques”, completou.

Serviço
www.sophos.com