Một nhóm môi giới truy cập ban đầu được theo dõi là nhện tiên tri đã được liên kết với một tập hợp các hoạt động độc hại khai thác lỗ hổng Log4Shell trong Máy chủ VMware Horizon chưa được vá.
Theo nghiên cứu mới được công bố bởi các nhóm Nghiên cứu & Tình báo và Ứng phó Sự cố (IR) của BlackBerry hôm nay, tác nhân tội phạm mạng đã lợi dụng sự thiếu sót một cách cơ hội để tải trọng tải giai đoạn hai lên các hệ thống nạn nhân.
Các tải trọng được quan sát bao gồm các công cụ khai thác tiền điện tử, Cobalt Strike Beacons và web shell, chứng thực một lời khuyên trước đó từ Dịch vụ Y tế Quốc gia Vương quốc Anh (NHS) đã gióng lên hồi chuông cảnh báo về việc tích cực khai thác các lỗ hổng trong máy chủ VMware Horizon để loại bỏ các web shell độc hại và thiết lập tính bền vững trên các mạng bị ảnh hưởng cho các cuộc tấn công tiếp theo.
Log4Shell là một biệt danh được sử dụng để chỉ một khai thác ảnh hưởng đến thư viện Apache Log4j phổ biến dẫn đến thực thi mã từ xa bằng cách ghi nhật ký một chuỗi được chế tạo đặc biệt. Kể từ khi lỗ hổng được tiết lộ công khai vào tháng trước, các tác nhân đe dọa đã nhanh chóng vận hành vectơ tấn công mới này cho nhiều chiến dịch xâm nhập nhằm giành toàn quyền kiểm soát các máy chủ bị ảnh hưởng.
BlackBerry cho biết họ đã quan sát thấy các trường hợp khai thác phản ánh các chiến thuật, kỹ thuật và quy trình (TTP) trước đây được cho là do băng đảng eCrime của nhà tiên tri Spider, bao gồm việc sử dụng đường dẫn thư mục “C:\Windows\Temp\7fde\” để lưu trữ các tệp độc hại và “wget .bin” có thể thực thi được để tìm nạp các tệp nhị phân bổ sung cũng như các phần trùng lặp trong cơ sở hạ tầng được nhóm sử dụng.
“Prophet Spider chủ yếu giành quyền truy cập vào nạn nhân bằng cách xâm phạm các máy chủ web dễ bị tổn thương và sử dụng nhiều công cụ có mức độ phổ biến thấp để đạt được các mục tiêu hoạt động”, CrowdStrike lưu ý vào tháng 8 năm 2021, khi nhóm này bị phát hiện tích cực khai thác các lỗ hổng trong máy chủ Oracle WebLogic để giành được quyền ban đầu. truy cập vào các môi trường mục tiêu.
Giống như nhiều nhà môi giới truy cập ban đầu khác, chỗ đứng được bán cho người trả giá cao nhất trên các diễn đàn ngầm nằm trong dark web, những người sau đó khai thác quyền truy cập để triển khai ransomware. Nhện tiên tri được biết là đã hoạt động ít nhất là từ tháng 5 năm 2017.
Trở thành Chuyên gia ứng phó sự cố!
Mở khóa các bí mật để ứng phó với sự cố chống đạn – Nắm vững quy trình 6 Giai đoạn với Asaf Perlman, Trưởng nhóm IR của Cynet!
Đừng bỏ lỡ – Tiết kiệm chỗ ngồi của bạn!
Đây không phải là lần đầu tiên các hệ thống truy cập internet chạy VMware Horizon bị tấn công bằng cách khai thác Log4Shell. Đầu tháng này, Microsoft đã gọi một nhà điều hành có trụ sở tại Trung Quốc được theo dõi là DEV-0401 vì đã triển khai một chủng ransomware mới có tên NightSky trên các máy chủ bị xâm nhập.
Cuộc tấn công dữ dội vào các máy chủ Horizon cũng đã khiến VMware thúc giục khách hàng của mình áp dụng các bản vá ngay lập tức. Nhà cung cấp dịch vụ ảo hóa cảnh báo: “Sự phân nhánh của lỗ hổng này là nghiêm trọng đối với bất kỳ hệ thống nào, đặc biệt là những hệ thống chấp nhận lưu lượng truy cập từ Internet mở”.
Tony Lee, phó chủ tịch điều hành kỹ thuật dịch vụ toàn cầu của BlackBerry, cho biết: “Khi một nhóm môi giới truy cập quan tâm đến một lỗ hổng có phạm vi chưa được xác định, thì đó là một dấu hiệu tốt cho thấy những kẻ tấn công nhận thấy giá trị đáng kể trong việc khai thác lỗ hổng đó”.
Lee nói thêm: “Có khả năng chúng ta sẽ tiếp tục thấy các nhóm tội phạm khám phá các cơ hội của lỗ hổng Log4Shell, vì vậy đây là một phương tiện tấn công mà các nhà bảo vệ cần phải thường xuyên cảnh giác”.
