Los servidores de VMware Horizon están siendo explotados activamente por piratas informáticos del estado iraní

Versión estilizada de la bandera iraní hecha de unos y ceros.

Los piratas informáticos alineados con el gobierno de Irán están explotando la vulnerabilidad crítica Log4j para infectar a los usuarios de VMware sin parches con ransomware, dijeron investigadores el jueves.

La firma de seguridad SentinelOne ha denominado al grupo TunnelVision. El nombre pretende enfatizar la fuerte dependencia de TunnelVision en las herramientas de tunelización y la forma única en que las implementa. En el pasado, TunnelVision ha explotado las denominadas vulnerabilidades de 1 día, es decir, vulnerabilidades que se han parcheado recientemente, para piratear organizaciones que aún no han instalado la solución. Las vulnerabilidades en Fortinet FortiOS (CVE-2023-13379) y Microsoft Exchange (ProxyShell) son dos de los objetivos más conocidos del grupo.

Introduzca Log4Shell

Recientemente, informó SentinelOne, TunnelVision comenzó a explotar una vulnerabilidad crítica en Log4j, una utilidad de registro de código abierto que está integrada en miles de aplicaciones. CVE-2023-44228 (o Log4Shell, ya que la vulnerabilidad es rastreada o apodada) permite a los atacantes obtener fácilmente el control remoto de las computadoras que ejecutan aplicaciones en el lenguaje de programación Java. El error picó a los jugadores más importantes de Internet y fue ampliamente atacado en la naturaleza después de que se hizo público.

La investigación de SentinelOne muestra que la orientación continúa y que esta vez el objetivo son las organizaciones que ejecutan VMware Horizon, un producto de virtualización de aplicaciones y escritorios que se ejecuta en Windows, macOS y Linux.

“Los atacantes de TunnelVision han estado explotando activamente la vulnerabilidad para ejecutar comandos maliciosos de PowerShell, implementar puertas traseras, crear usuarios de puertas traseras, recopilar credenciales y realizar movimientos laterales”, escribieron en una publicación los investigadores de la compañía Amitai Ben Shushan Ehrlich y Yair Rigevsky. “Por lo general, el actor de amenazas inicialmente explota la vulnerabilidad Log4j para ejecutar comandos de PowerShell directamente y luego ejecuta comandos adicionales por medio de shells inversos de PS, ejecutados a través del proceso Tomcat”.

Apache Tomcat es un servidor web de código abierto que VMware y otro software empresarial utilizan para implementar y servir aplicaciones web basadas en Java. Una vez instalado, un shell permite a los piratas informáticos ejecutar de forma remota los comandos de su elección en las redes explotadas. El PowerShell que se usa aquí parece ser una variante de este disponible públicamente. Una vez instalado, los miembros de TunnelVision lo utilizan para:

  • Ejecutar comandos de reconocimiento
  • Cree un usuario de puerta trasera y agréguelo al grupo de administradores de red
  • Recopile credenciales con ProcDump, Hive Dump de SAM y MiniDump de comsvcs
  • Descargue y ejecute herramientas de tunelización, incluidas Plink y Ngrok, que se utilizan para canalizar el tráfico del protocolo de escritorio remoto.

Los piratas informáticos utilizan múltiples servicios legítimos para lograr y ocultar sus actividades. Esos servicios incluyen:

  • transferir.sh
  • pastebin.com
  • webhook.sitio
  • ufile.io
  • raw.githubusercontent.com

Las personas que intentan determinar si su organización se ve afectada deben buscar conexiones salientes inexplicables a estos servicios públicos legítimos.

Túneles, minerales y gatitos.

El informe del jueves decía que TunnelVision se superpone con varios grupos de amenazas expuestos por otros investigadores a lo largo de los años. Microsoft ha denominado a un grupo Phosphorous. El grupo, informó Microsoft, ha intentado piratear una campaña presidencial de EE. UU. e instalar ransomware en un intento de generar ingresos o interrumpir a los adversarios. El gobierno federal también ha dicho que los piratas informáticos iraníes habían estado apuntando a la infraestructura crítica en los EE. UU. con ransomware.

SentinelOne dijo que TunnelVision también se superpone con dos grupos de amenazas que la firma de seguridad CrowdStrike rastrea como Charming Kitten y Nemesis Kitten.

“Hacemos un seguimiento de este grupo por separado bajo el nombre de ‘TunnelVision’”, escribieron los investigadores de SentinelOne. “Esto no implica que creamos que no están necesariamente relacionados, solo que actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones antes mencionadas”.

La publicación proporciona una lista de indicadores que los administradores pueden usar para determinar si se han visto comprometidos.

Facebook
Twitter
LinkedIn
Telegram
WhatsApp

Deja un comentario