Vmware Horizon Log4J

Un « acteur potentiellement destructeur » aligné avec le gouvernement iranien exploite activement la vulnérabilité Log4j bien connue pour infecter les serveurs VMware Horizon non corrigés avec un ransomware.

La firme de cybersécurité SentinelOne a surnommé le groupe « TunnelVision » en raison de leur forte dépendance aux outils de creusement de tunnels, avec des chevauchements de tactiques observés avec ceux d’un groupe plus large suivi sous le nom de Phosphorus ainsi que Charming Kitten et Nemesis Kitten.

Sauvegardes Github Automatiques

« Les activités de TunnelVision se caractérisent par une large exploitation des vulnérabilités d’un jour dans les régions cibles », ont déclaré les chercheurs de SentinelOne, Amitai Ben Shushan Ehrlich et Yair Rigevsky. mentionné dans un rapport, avec les intrusions détectées au Moyen-Orient et aux États-Unis

Parallèlement à Log4Shell, on observe également l’exploitation de la faille de traversée de chemin Fortinet FortiOS (CVE-2018-13379) et de la vulnérabilité Microsoft Exchange ProxyShell pour obtenir un accès initial aux réseaux cibles pour la post-exploitation.

« Les attaquants de TunnelVision ont activement exploité la vulnérabilité pour exécuter des commandes PowerShell malveillantes, déployer des portes dérobées, créer des utilisateurs de porte dérobée, collecter des informations d’identification et effectuer des mouvements latéraux », ont déclaré les chercheurs.

Publicité
Empêcher Les Violations De Données

Les commandes PowerShell sont utilisées comme rampe de lancement pour télécharger des outils tels que Ngrok et exécuter d’autres commandes au moyen de shells inversés qui sont utilisés pour supprimer une porte dérobée PowerShell capable de collecter des informations d’identification et d’exécuter des commandes de reconnaissance.

SentinelOne a également déclaré avoir identifié des similitudes dans le mécanisme utilisé pour exécuter le shell Web inversé avec un autre implant basé sur PowerShell appelé PowerLess qui a été divulgué par les chercheurs de Cybereason plus tôt ce mois-ci.

Tout au long de l’activité, l’auteur de la menace aurait utilisé un référentiel GitHub appelé « VmWareHorizon » sous le nom d’utilisateur « protections20 » pour héberger les charges utiles malveillantes.

La société de cybersécurité a déclaré qu’elle associait les attaques à un cluster iranien distinct non pas parce qu’elles n’étaient pas liées, mais en raison du fait qu' »il n’y a actuellement pas suffisamment de données pour les traiter comme identiques à l’une des attributions susmentionnées ».

Rate this post
Publicité
Article précédentSelfWealth devient le premier courtage à offrir des services de crypto-monnaie aux Australiens
Article suivantLa Chine met en garde contre l’utilisation du métaverse comme outil de collecte de fonds illégale
Avatar
Violette Laurent
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

ARTICLES CONNEXESPLUS DE L'AUTEUR

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici