仍在利用Log4Shell攻击VMWare服务器以过滤敏感数据

这些机构表示:“自2021 12月以来,多个威胁行为体组织已在未修补、面向公众的VMware Horizon和[统一访问网关]服务器上利用Log4Shell。”。“作为此次攻击的一部分,可疑APT参与者将loader恶意软件植入到具有嵌入式可执行文件的受损系统上,以实现远程命令和控制(C2)。”
在一个例子中,据说对手能够在受害者网络内横向移动,访问灾难恢复网络,并收集和过滤敏感的执法数据。
Log4Shell跟踪为CVE-2021-44228(CVSS分数:10.0),是一个影响Apache Log4j日志库的远程代码执行漏洞,广泛用于消费者和企业服务、网站、应用程序和其他产品。
成功利用该漏洞可使攻击者向受影响的系统发送巧尽心思构建的命令,从而使参与者能够执行恶意代码并控制目标。
根据作为两次事件响应活动的一部分收集的信息,这些机构表示,攻击者利用此漏洞进行武器化攻击,以丢弃恶意有效负载,包括PowerShell脚本和一个名为“hmsvc.exe”的远程访问工具,该工具具有记录击键和部署其他恶意软件的功能。
“该恶意软件可以充当C2隧道代理,允许远程操作员转向其他系统并进一步移动到网络中,”这些机构指出,并补充说它还提供了“通过目标Windows系统桌面的图形用户界面(GUI)访问”
在第二个组织的生产环境中观察到的PowerShell脚本有助于横向移动,使APT参与者能够植入包含可执行文件的loader恶意软件,包括远程监控系统桌面、获得反向shell访问、过滤数据以及上载和执行下一阶段二进制文件的能力。
此外,敌对集团利用CVE-2022-22954(VMware Workspace ONE Access and Identity Manager中的一个远程代码执行漏洞,于2022年4月曝光)提供Dingo J-spy web shell。
六个多月后仍在进行的Log4Shell相关活动表明,攻击者对该漏洞非常感兴趣,包括国家赞助的高级持久性威胁(APT)参与者,他们机会主义地将未打补丁的服务器作为攻击目标,以获得后续活动的初始立足点。
据网络安全公司ExtraHop称,Log4j漏洞遭到了无情的扫描尝试,金融和医疗保健行业正在成为潜在攻击的巨大市场。