Vague d’attaques liées à Log4j ciblant VMware Horizon

Une vague de cyberattaques exploitant la vulnérabilité d’exécution de code à distance (RCE) Log4Shell dans le composant de journalisation Java Apache Log4j semble cibler les utilisateurs de serveurs VMware Horizon, selon de nouvelles informations publiées par les analystes de Sophos.

Dans un document technique récemment publié, Une horde de robots mineurs et de portes dérobées ont exploité Log4j pour attaquer les serveurs VMware Horizon, les chercheurs de Sophos révèlent comment les attaquants continuent d’exploiter l’incapacité généralisée à prêter attention à Log4Shell pour fournir des portes dérobées et des scripts de profilage aux serveurs VMware Horizon, jetant ainsi les bases d’un accès durable et persistant et facilitant les futures attaques de ransomware.

« Les applications largement utilisées telles que VMware Horizon, qui sont exposées à Internet et doivent être mises à jour manuellement, sont particulièrement vulnérables à l’exploitation à grande échelle », a déclaré Sean Gallagher, chercheur senior en sécurité chez Sophos.

« Les détections Sophos révèlent des vagues d’attaques ciblant les serveurs Horizon, à partir de janvier, et fournissant une gamme de portes dérobées et de cryptomineurs aux serveurs non corrigés, ainsi que des scripts pour collecter certaines informations sur les périphériques. »

Sophos estime que les portes dérobées sont fournies par des courtiers d’accès initial (IAB), un élément de plus en plus bien exploité de la « chaîne d’approvisionnement » des ransomwares en tant que service (RaaS). Il a déclaré avoir trouvé trois portes dérobées différentes, ainsi que quatre cryptomineurs illicites, au cours de ses recherches.

Les charges utiles d’attaque découvertes par Gallagher et son équipe comprennent deux outils légitimes de surveillance et de gestion à distance, Atera agent et Splashtop Streamer, réutilisés pour une utilisation malveillante en tant que portes dérobées; la porte dérobée Sliver, qui est déjà malveillante; et plusieurs shells inverses powerShell pour collecter des informations sur les périphériques et les sauvegardes. De plus, les cryptomineurs découverts étaient z0Minder, JavaX miner, Jin et Mimu.

Sliver, notamment, est parfois livré aux côtés de scripts de profilage Atera et PowerShell pour fournir Jin et Mimu, qui sont tous deux des variantes du botnet de mineur XMrig Monero.

Il a été constaté que les attaquants utilisaient plusieurs approches différentes pour infecter des cibles, mais il peut être à noter que lors de la plus grande vague d’attaques, à partir de la mi-janvier, les attaquants se sont éloignés de l’outil cobalt Strike très apprécié comme moyen de mettre en scène et d’exécuter des charges utiles de cryptomineurs, pour exécuter le script d’installation de cryptomineurs directement à partir du composant Apache Tomcat du serveur VMware Horizon cible.

« Les résultats de Sophos suggèrent que plusieurs adversaires mettent en œuvre ces attaques, de sorte que l’étape de protection la plus importante consiste à mettre à niveau tous les appareils et applications qui incluent Log4J avec la version corrigée du logiciel. Cela inclut des versions corrigées de VMware Horizon si les entreprises utilisent l’application dans leur réseau », a déclaré Gallagher.

« Log4J est installé dans des centaines de produits logiciels et de nombreuses organisations peuvent ne pas être conscientes de la vulnérabilité qui se cache dans leur infrastructure, en particulier dans les logiciels commerciaux, open source ou personnalisés qui ne disposent pas d’un support de sécurité régulier.

« Et bien que les correctifs soient essentiels, il ne suffira pas que les attaquants aient déjà pu installer un shell Web ou une porte dérobée sur le réseau. Il est essentiel de se défendre en profondeur et d’agir en cas de détection de mineurs et d’autres activités anormales pour éviter d’être victimes de telles attaques », a-t-il déclaré.