伊朗黑客针对VMware Horizon Log4j漏洞部署勒索软件

一名与伊朗政府结盟的“潜在破坏性行为者”正在积极利用众所周知的Log4j漏洞，用勒索软件感染未打补丁的VMware Horizon服务器。

网络安全公司SentinelOne称该组织为隧道视觉“由于它们严重依赖隧道工具，观察到的战术与被追踪的更广泛群体的战术有重叠，这些群体被称为“磷”以及“迷人的小猫”和“复仇女神小猫”。

“TunnVIEW活动的特点是对目标区域1天漏洞的广泛利用，”StimelelOne研究人员AmiTi Ben蜀山埃利希和Yair Rigevsky在一份报告中说，入侵在中东和美国被发现。

与Log4Shell一起观察到的还有利用Fortinet FortiOS路径遍历漏洞（CVE-2018-13379）和Microsoft Exchange ProxyShell漏洞获得对目标网络的初始访问以进行后期攻击。

研究人员说：“隧道入侵攻击者一直在积极利用该漏洞来运行恶意PowerShell命令、部署后门、创建后门用户、获取凭据和执行横向移动。”。

PowerShell命令用作启动平台，用于下载Ngrok等工具，并通过反向外壳运行进一步的命令，该反向外壳用于放下能够收集凭据和执行侦察命令的PowerShell后门。

SentinelOne还表示，它发现了用于执行反向网络外壳的机制与Cybereason研究人员本月早些时候披露的另一种基于PowerShell的名为PowerLess的植入物的相似之处。

在整个活动过程中，据说威胁参与者利用名为“VmWareHorizon”的GitHub存储库（用户名为“protections20”）托管恶意有效载荷。

这家网络安全公司表示，他们将这些攻击与一个单独的伊朗集群联系起来，不是因为它们无关，而是因为“目前没有足够的数据将它们视为与上述任何属性相同”