Invasores usaram vulnerabilidade Log4Shell para fornecer backdoors a servidores virtuais

Pesquisa detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores

Compartilhar:

A Sophos divulgou descobertas de que cibercriminosos estão usando a vulnerabilidade Log4Shell para fornecer backdoors e scripts de criação de perfil para servidores VMware Horizon desatualizados, abrindo caminho para acesso persistente e futuros ataques de ransomware.

 

A pesquisa, intitulada “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers”, detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores. Os backdoors foram possivelmente lançados via Initial Access Brokers.

 

O Log4Shell é uma vulnerabilidade de execução remota de código no componente de log Java, o Apache Log4J, incorporado em centenas de produtos de software. Essa vulnerabilidade foi relatada anteriormente e corrigida em dezembro de 2021.

 

“A pesquisa da Sophos revela ondas de ataques direcionados aos servidores Horizon, a partir de janeiro, que lançam uma série de backdoors e criptomineradores para servidores desatualizados, bem como scripts para coletar informações de dispositivos. A Sophos acredita que alguns desses backdoors podem ser implementados por Initial Access Brokers para proteger o acesso remoto persistente a um alvo de alto valor – que eles podem vender para outros invasores, como operadores de ransomware”.

 

As formas de ataque que a Sophos detectou por meio do Log4Shell para direcionar servidores Horizon vulneráveis incluem:

 

• Duas ferramentas legítimas de monitoramento e gerenciamento remoto, agente Atera e Splashtop Streamer, provavelmente destinadas ao uso malicioso como em backdoors;

• Backdoor malicioso chamado de Sliver;

• Criptomineradores z0Miner, JavaX miner, Jin e Mimu;

• Shells reversos – técnica utilizada para enviar comandos de um shell remotamente por um ponto de entrada – baseados em PowerShell que coletam informações de dispositivos e backups.

 

A análise também revelou que em algumas ocasiões o Sliver é entregue junto a scripts de criação de perfil Atera e PowerShell, e é usado para lançar as variantes Jin e Mimu do botnet do minerador XMrig Monero.

 

De acordo com a Sophos, os cibercriminosos estão usando diversas abordagens para infectar os alvos. Enquanto alguns dos ataques anteriores utilizaram o Cobalt Strike para preparar e executar as funções úteis do criptominerador, a maior onda de ataques, que começou em meados de janeiro de 2022, executou o script do instalador do criptominerador diretamente do componente Apache Tomcat do servidor VMware Horizon. E essa onda de ataques ainda está em andamento.

 

“As descobertas da Sophos apontam que cibercriminosos estão implementando esses ataques, portanto, a etapa mais importante de proteção é atualizar todos os dispositivos e aplicativos que usam o Log4J com a versão corrigida do software. Isso inclui opções atualizadas do VMWare Horizon se as organizações usarem o aplicativo na rede”, explica Gallagher.

Destaques

Colunas & Blogs

Conteúdos Relacionados

Security Report | Overview

Explorações com IA são identificadas em pesquisa após violar vulnerabilidades

Pesquisadores analisaram a nova estrutura de exploração com IA, a qual permite que agentes maliciosos acessem vulnerabilidades críticas, forçando as...
Security Report | Overview

Grupo Pão de Açúcar revela estratégia para proteção digital contra ataques cibernéticos

A solução é resultado de parceria entre empresas, ela é reconhecida pela capacidade de detecção, prevenção e recuperação frente a...
Security Report | Overview

Estratégia de brushing é usada para fraudes em operações e-commerce, mostra análise

Relatório revela que diversas fraudes podem começar em uma entrega após a compra não realizada em e-commerce, o "brushing" é...
Security Report | Overview

União Europeia caminha para reconhecer equivalência entre LGPD e GDPR

Segundo relatório a iniciativa divulgada pela União Europeia reconhece que o nível de proteção de dados assegurado no Brasil pode...