Iranlı Hackerlar VMware Horizon Log4j Açıklarından Yararlanıyor

 



İranlı hackerlar İran hükümetiyle uyumlu yama uygulanmamış VMware Horizon sunucularına fidye yazılımı bulaştırmak için iyi bilinen Log4j güvenlik açığından aktif olarak yararlanıyor.



Siber güvenlik firması SentinelOne, tünel açma araçlarına olan yoğun güvenleri nedeniyle grubu "TunnelVision" olarak adlandırdı. SentinelOne araştırmacıları Amitai Ben Shushan Ehrlich ve Yair Rigevsky, Orta Doğu ve ABD'de izinsiz girişlerin tespit edildiği bir raporda, "TunnelVision faaliyetleri, hedef bölgelerdeki 1 günlük güvenlik açıklarının geniş bir şekilde kullanılmasıyla karakterize ediliyor" dedi.



Log4Shell ile birlikte ayrıca, istismar sonrası için hedef ağlara erişim elde etmek için Fortinet FortiOS yol geçiş kusurunun (CVE-2018-13379) ve Microsoft Exchange ProxyShell güvenlik açığının sömürülmesi de gözlemlendi.



Araştırmacılar, "TunnelVision saldırganları, kötü niyetli PowerShell komutlarını çalıştırmak, arka kapıları açmak, arka kapı kullanıcıları oluşturmak, kimlik bilgilerini toplamak ve yanal hareket gerçekleştirmek için güvenlik açığından aktif olarak yararlanıyor" dedi.



SentinelOne ayrıca, Cybereason araştırmacıları tarafından bu ayın başlarında açıklanan PowerLess adlı başka bir PowerShell tabanlı implant ile ters ağ kabuğunu yürütmek için kullanılan mekanizmada benzerlikler tespit ettiğini söyledi.



Tüm etkinlik boyunca, hackerların kötü niyetli yükleri barındırmak için "protections20" kullanıcı adı altında "VmWareHorizon" olarak bilinen bir GitHub deposunu kullandığı söyleniyor.



Siber güvenlik şirketi, saldırıları ilgisiz oldukları için değil, "yukarıda belirtilen niteliklerden herhangi biri ile aynı olarak ele almak için şu anda yeterli veri olmadığı" gerçeği nedeniyle ayrı bir İran hacker gurubu ile ilişkilendirdiğini söyledi.


thehackernews'dan alıntıdır.


Hiç yorum yok: