Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Брокеры начального доступа участвуют в атаках Log4Shell на серверы VMware Horizon

27/01/22

log4shell

Группа брокеров начального доступа под названием Prophet Spider связана с вредоносной кампанией, в ходе которой злоумышленники эксплуатируют уязвимость Log4Shell ( CVE-2021-44228 ) в серверах VMware Horizon.

По словам специалистов из BlackBerry Research & Intelligence и Incident Response (IR), киберпреступники использовали уязвимость для установки полезной нагрузки второго этапа на скомпрометированные системы. В августе 2021 года группировка была замечена в активном использовании уязвимостей в серверах Oracle WebLogic для получения первоначального доступа. Prophet Spider активна по крайней мере с мая 2017 года.

Это не первый случай, когда системы под управлением VMware Horizon подвергаются атакам с использованием Log4Shell. Ранее в этом месяце Microsoft сообщила об атаках группировки DEV-0401, в ходе которых хакеры устанавливали новый вариант вымогателя NightSky на скомпрометированных серверах.

Нападение на серверы Horizon также побудило VMware призвать своих клиентов немедленно установить исправления для уязвимости.

«Последствия этой уязвимости серьезны для любой системы, особенно для тех, которые принимают трафик из интернета», — предупредил поставщик услуг виртуализации.

Эксперты зафиксировали случаи использования тактик, методов и процедур зеркалирования, связанных с группировкой Prophet Spider, включая использование пути к папке «C:\Windows\Temp\7fde\» для хранения вредоносных файлов и «wget .bin» для получения дополнительных двоичных файлов.

Prophet Spider в первую очередь получает доступ к жертвам, компрометируя уязвимые web-серверы, и использует различные малораспространенные инструменты для достижения операционных целей. Как и в случае со многими другими брокерами начального доступа, подобный «фундамент» для проведения атак продается на подпольных форумах в даркнете тому, кто больше заплатит.

Темы:VMWareУгрозыLog4Shell
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...