Un «actor potencialmente destructivo» alineado con el gobierno de Irán está explotando activamente la conocida vulnerabilidad Log4j para infectar con ransomware servidores VMware Horizon sin parchear.
La firma de seguridad SentinelOne apodó al grupo «TunnelVision» debido a su gran dependencia de las herramientas de túnel, y se observaron superposiciones en las tácticas con las de un grupo más amplio rastreado bajo el apodo de Phosphorus, así como Charming Kitten y Nemesis Kitten (aka Phosphorous, APT35, o TA453),
«Las actividades de TunnelVision se caracterizan por una amplia explotación de las vulnerabilidades de 1-día en las regiones objetivo», dijeron en un informe los investigadores de SentinelOne Amitai Ben Shushan Ehrlich y Yair Rigevsky. Las intrusiones detectadas corresponden a Medio Oriente y los EE.UU.
También se observó junto con Log4Shell la explotación de una falla de Path-Traversal en Fortinet FortiOS (CVE-2018-13379 / FG-IR-18-384) y la vulnerabilidad de Microsoft Exchange ProxyShell para obtener acceso inicial a las redes de destino para la explotación posterior.
«Los atacantes de TunnelVision han estado explotando activamente la vulnerabilidad para ejecutar comandos maliciosos de PowerShell, implementar puertas traseras, crear usuarios de puerta trasera, recopilar credenciales y realizar movimientos laterales», dijeron los investigadores.
Los comandos de PowerShell se usan como una plataforma de lanzamiento para descargar herramientas como Ngrok y ejecutar más comandos por medio de shells inversos que se emplean para colocar una puerta trasera de PowerShell que es capaz de recopilar credenciales y ejecutar comandos de reconocimiento.
La explotación de Log4j en VMware Horizon se caracteriza por un proceso malicioso generado por el servicio Tomcat del producto VMware (C:\Program Files\VMware\VMware View\Server\bin\ws_TomcatService.exe).
SentinelOne también dijo que identificó similitudes en el mecanismo utilizado para ejecutar el shell web inverso con otro implante basado en PowerShell llamado PowerLess que fue revelado por los investigadores de Cybereason a principios de este mes.
A lo largo de la actividad, se dice que el actor de amenazas utilizó un repositorio de GitHub conocido como «VmWareHorizon» con el nombre de usuario «protections20» para alojar las cargas maliciosas.
La compañía de ciberseguridad dijo que está asociando los ataques a un grupo iraní separado no porque no estén relacionados, sino debido al hecho de que «actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones antes mencionadas».
Se recomienda aplicar la actualizacion de VMware Horizon publicada en diciembre de 2021 y la actualizacion FG-IR-18-384 de Fortinet publicada en mayo de 2019.
