A Sophos, empresa global de cibersegurança, divulgou que cibercriminosos estão usando a vulnerabilidade Log4Shell para fornecer backdoors e scripts de criação de perfil para servidores VMware Horizon desatualizados, abrindo caminho para acesso persistente e futuros ataques de ransomware. A pesquisa, intitulada “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers”, detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores. Os backdoors foram possivelmente lançados via Initial Access Brokers.
O Log4Shell é uma vulnerabilidade de execução remota de código no componente de log Java, o Apache Log4J, incorporado em centenas de produtos de software. Essa vulnerabilidade foi relatada anteriormente e corrigida em dezembro de 2021.
“Aplicativos usados amplamente, como o VMware Horizon, que estão expostos na Internet e precisam ser atualizados de forma manual, são particularmente vulneráveis à exploração em escala”, explica Sean Gallagher, pesquisador sênior de Segurança da Sophos. “A pesquisa revela ondas de ataques direcionados aos servidores Horizon, a partir de janeiro, que lançam uma série de backdoors e criptomineradores para servidores desatualizados, bem como scripts para coletar informações de dispositivos. A Sophos acredita que alguns desses backdoors podem ser implementados por Initial Access Brokers para proteger o acesso remoto persistente a um alvo de alto valor – que eles podem vender para outros invasores, como operadores de ransomware”, comentou..
As formas de ataque que a Sophos detectou por meio do Log4Shell para direcionar servidores Horizon vulneráveis incluem:
– Duas ferramentas legítimas de monitoramento e gerenciamento remoto, agente Atera e Splashtop Streamer, provavelmente destinadas ao uso malicioso como em backdoors;
– Backdoor malicioso chamado de Sliver;
– Criptomineradores z0Miner, JavaX miner, Jin e Mimu;
– Shells reversos – técnica utilizada para enviar comandos de um shell remotamente por um ponto de entrada – baseados em PowerShell que coletam informações de dispositivos e backups.
A análise também revelou que em algumas ocasiões o Sliver é entregue junto a scripts de criação de perfil Atera e PowerShell, e é usado para lançar as variantes Jin e Mimu do botnet do minerador XMrig Monero.
De acordo com a Sophos, os cibercriminosos estão usando diversas abordagens para infectar os alvos. Enquanto alguns dos ataques anteriores utilizaram o Cobalt Strike para preparar e executar as funções úteis do criptominerador, a maior onda de ataques, que começou em meados de janeiro de 2022, executou o script do instalador do criptominerador diretamente do componente Apache Tomcat do servidor VMware Horizon. E essa onda de ataques ainda está em andamento.
“As descobertas da Sophos apontam que cibercriminosos estão implementando esses ataques, portanto, a etapa mais importante de proteção é atualizar todos os dispositivos e aplicativos que usam o Log4J com a versão corrigida do software. Isso inclui opções atualizadas do VMWare Horizon se as organizações usarem o aplicativo na rede”, explica Gallagher. “O Log4J está instalado em centenas de produtos de software e muitas organizações podem não estar cientes da vulnerabilidade escondida em sua infraestrutura, principalmente em softwares comerciais, de código aberto ou personalizado que não têm suporte de segurança regular. E, embora a correção seja vital, não será suficiente se os invasores já tiverem instalado um web shell ou backdoor na rede. A defesa em profundidade e a atuação em qualquer detecção de mineradores e outras atividades anômalas é fundamental para evitar ser vítima de tais ataques”, completou.
Serviço
www.sophos.com
Leia nesta edição:
CAPA | TECNOLOGIA
Centros de Dados privados ainda geram bons negócios
TENDÊNCIA
Processadores ganham centralidade com IA
TIC APLICADA
Digitalização do canteiro de obras
Esta você só vai ler na versão digital
TECNOLOGIA
A tecnologia RFID está madura, mas há espaço para crescimento
Baixe o nosso aplicativo