Invasores usaram vulnerabilidade Log4Shell para fornecer backdoors a servidores virtuais

Pesquisa detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores

Compartilhar:

A Sophos divulgou descobertas de que cibercriminosos estão usando a vulnerabilidade Log4Shell para fornecer backdoors e scripts de criação de perfil para servidores VMware Horizon desatualizados, abrindo caminho para acesso persistente e futuros ataques de ransomware.

 

A pesquisa, intitulada “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers”, detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores. Os backdoors foram possivelmente lançados via Initial Access Brokers.

 

O Log4Shell é uma vulnerabilidade de execução remota de código no componente de log Java, o Apache Log4J, incorporado em centenas de produtos de software. Essa vulnerabilidade foi relatada anteriormente e corrigida em dezembro de 2021.

 

“A pesquisa da Sophos revela ondas de ataques direcionados aos servidores Horizon, a partir de janeiro, que lançam uma série de backdoors e criptomineradores para servidores desatualizados, bem como scripts para coletar informações de dispositivos. A Sophos acredita que alguns desses backdoors podem ser implementados por Initial Access Brokers para proteger o acesso remoto persistente a um alvo de alto valor – que eles podem vender para outros invasores, como operadores de ransomware”.

 

As formas de ataque que a Sophos detectou por meio do Log4Shell para direcionar servidores Horizon vulneráveis incluem:

 

• Duas ferramentas legítimas de monitoramento e gerenciamento remoto, agente Atera e Splashtop Streamer, provavelmente destinadas ao uso malicioso como em backdoors;

• Backdoor malicioso chamado de Sliver;

• Criptomineradores z0Miner, JavaX miner, Jin e Mimu;

• Shells reversos – técnica utilizada para enviar comandos de um shell remotamente por um ponto de entrada – baseados em PowerShell que coletam informações de dispositivos e backups.

 

A análise também revelou que em algumas ocasiões o Sliver é entregue junto a scripts de criação de perfil Atera e PowerShell, e é usado para lançar as variantes Jin e Mimu do botnet do minerador XMrig Monero.

 

De acordo com a Sophos, os cibercriminosos estão usando diversas abordagens para infectar os alvos. Enquanto alguns dos ataques anteriores utilizaram o Cobalt Strike para preparar e executar as funções úteis do criptominerador, a maior onda de ataques, que começou em meados de janeiro de 2022, executou o script do instalador do criptominerador diretamente do componente Apache Tomcat do servidor VMware Horizon. E essa onda de ataques ainda está em andamento.

 

“As descobertas da Sophos apontam que cibercriminosos estão implementando esses ataques, portanto, a etapa mais importante de proteção é atualizar todos os dispositivos e aplicativos que usam o Log4J com a versão corrigida do software. Isso inclui opções atualizadas do VMWare Horizon se as organizações usarem o aplicativo na rede”, explica Gallagher.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Serpro nega ser alvo de hacker preso em Pernambuco

Estatal reafirma que sistemas seguem íntegros e não houve comprometimento de dados sob sua guarda
Security Report | Overview

Febraban divulga medidas de reforço à integridade do sistema financeiro

Federação divulga ação do Banco Central contra fraudes e crimes cibernéticos, destaca preservação do Pix e defende regras mais duras...
Security Report | Overview

F5 adquire organização de segurança de IA empresarial por 180 milhões de dólares

Movimento pode evidenciar a crescente preocupação com a implementação de estratégias para a IA empresarial e a necessidade de novas...
Security Report | Overview

ANPD assina acordo com autoridade dos Emirados Árabes para proteção de dados

Segundo o organização, a iniciativa é uma tentativa de fortalecer a cooperação entre países para a proteção de dados pessoais,...