استفاده هکر های ایرانی از آسیب پذیری Vmware Horizon Log4j


5/5 - (1 امتیاز)

به گزارش Hackernews یک هکر همسو با دولت ایران، به طور فعال از آسیب پذیری Vmware Horizon Log4j برای آلوده کردن سرور های VMware Horizon آسیب پذیر به باج‌ افزار استفاده می‌ کند. شرکت امنیت سایبری SentinelOne این گروه را به دلیل وابستگی شدید به ابزارهای Tunneling و همپوشانی تکنیک های مورد استفاده شده با گروه بزرگ تری به نام گروه هکری فسفر که همچنین با نام های Attractive Cat و Nemesis Kitten شناخته می‌شوند، لقب «TunnelVision» داد. محققین SentinelOne ,Amitai Ben Shushan Ehrlich و Yair Rigevsky در گزارشی گفتند: “صفت بارز گروه TunnelVision بهره برداری گسترده از آسیب پذیری های 1-Day در مناطق هدف مشخص است.” همچنین در کنار آسیب پذیری Log4Shell، از آسیب پذیری Fortinet FortiOS (CVE-2018-13379) و آسیب‌ پذیری Microsoft Exchange ProxyShell برای دسترسی گرفتن به شبکه‌های داخلی برای Post-Exploation استفاده میشود. محققان گفتند: مهاجمان TunnelVision فعالانه از این آسیب‌ پذیری ها برای اجرای دستورات مخرب PowerShell، استقرار درب های پشتی، ایجاد کاربران غیر مجاز، جمع‌ آوری اطلاعات و انجام حرکات جانبی سوء استفاده می‌ کنند. دستورات PowerShell به‌عنوان سکوی پرتاب برای دانلود ابزارهایی مانند Ngrok و اجرای دستورات بیشتر با استفاده از شل معکوس استفاده می‌ شوند تا بکدور PowerShell جدیدی که قادر به جمع آوری اطلاعات هویتی, اجرای دستورات شناسایی و جمع آوری اطلاعات است، بر روی سیستم نصب شود. SentinelOne همچنین گفت که شباهت هایی را در مکانیسم مورد استفاده برای اجرای شل معکوس با یک Implement مبتنی بر PowerShell به نام PowerLess که توسط محققان Cybereason در اوایل این ماه کشف شد ، شناسایی کرده است. گفته می شود که در تمام طول فعالیت، این گروه هکری از یک مخزن GitHub به نام “VmWareHorizon” با نام کاربری “protections20” برای میزبانی Payload های مخرب استفاده کرده است. این شرکت امنیت سایبری گفت که این حملات را در یک طبقه بندی جدید قرار میدهند ، نه به این دلیل که به گروه های ایرانی مرتبط نیستند، بلکه به این دلیل که «در حال حاضر داده‌ های کافی برای یکسان بودن آنها با هر یک از اسناد ذکر شده وجود ندارد».

بدون دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد.