Контакты
Подписка 2024
Персональные данные
4 апреля. Персональные данные в 2024 году: регулирование, практика, тенденции
Регистрируйтесь на онлайн-конференцию!

Иранские хакеры эксплуатируют уязвимость Log4Shell в серверах VMware Horizon

21/02/22

irahack3-Feb-21-2022-09-59-25-16-AMХакерская группировка TunnelVision, предположительно связанная с правительством Ирана, эксплуатирует критическую уязвимость Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для установки программ-вымогателей на серверы VMware Horizon.

«TunnelVision активно эксплуатирует уязвимость для запуска вредоносных PowerShell-команд, установки бэкдоров, создания бэкдор-пользователей, хищения учетных данных и перемещения по сети. Как правило, злоумышленники сначала используют уязвимость в Log4j для прямого запуска PowerShell-команд, а затем запускает дальнейшие команды с помощью обратных оболочек PS, выполняемых через процесс Tomcat», — пояснили эксперты из SentinelOne.

Хакеры также используют несколько легитимных сервисов для сокрытия своей деятельности, включая transfer.sh, pastebin.com, webhook.site, ufile.io, raw.githubusercontent.com.

По словам экспертов, действия TunnelVision отслеживаются другими ИБ-компаниями, но под разными именами, такими как Phosphorus (Microsoft), а также Charming Kitten и Nemesis Kitten (CrowdStrike). Путаница возникает из-за того, эксперты Microsoft приписывают активность одной группировке (Phosphorus), а специалисты CrowdStrike связывают данные преступные операции с двумя разными группировками: Charming Kitten и Nemesis Kitten.

SentinelOne отслеживает группировку отдельно под названием TunnelVision. Это не означает, что перечисленные группировки не связаны, просто в настоящее время у экспертов недостаточно данных для формирования более точных выводов.

Темы:VMWareПреступленияИранLog4Shell
NGFW
9 апреля. Отечественные NGFW: как защитить облачную инфраструктуру и настроить обнаружение кибератак
Участвуйте и представляйте решения!

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Спецпроекты журнала "Информационная безопасность"
Станьте автором издания!

Еще темы...

More...