Un «actor potencialmente destructivo» alineado con el gobierno de Irán está explotando activamente la conocida vulnerabilidad Log4j para infectar servidores VMware Horizon sin parches con ransomware.
La firma de seguridad cibernética SentinelOne apodó al grupo » TunnelVision » debido a su gran dependencia de las herramientas de tunelización, y se observaron superposiciones en las tácticas con las de un grupo más amplio rastreado bajo el apodo de Phosphorus , así como Charming Kitten y Nemesis Kitten.
«Las actividades de TunnelVision se caracterizan por una amplia explotación de vulnerabilidades de 1 día en las regiones objetivo», dijeron en un informe los investigadores de SentinelOne Amitai Ben Shushan Ehrlich y Yair Rigevsky, con las intrusiones detectadas en el Medio Oriente y los EE. UU.
También se observó junto con Log4Shell la explotación de la falla transversal de ruta de Fortinet FortiOS ( CVE-2018-13379 ) y la vulnerabilidad de Microsoft Exchange ProxyShell para obtener acceso inicial a las redes de destino para la explotación posterior.
«Los atacantes de TunnelVision han estado explotando activamente la vulnerabilidad para ejecutar comandos maliciosos de PowerShell, implementar puertas traseras, crear usuarios de puerta trasera, recopilar credenciales y realizar movimientos laterales», dijeron los investigadores.
Los comandos de PowerShell se usan como una plataforma de lanzamiento para descargar herramientas como Ngrok y ejecutar más comandos por medio de shells inversos que se emplean para colocar una puerta trasera de PowerShell que es capaz de recopilar credenciales y ejecutar comandos de reconocimiento.
SentinelOne también dijo que identificó similitudes en el mecanismo utilizado para ejecutar el shell web inverso con otro implante basado en PowerShell llamado PowerLess que fue revelado por los investigadores de Cybereason a principios de este mes.
A lo largo de la actividad, se dice que el actor de amenazas utilizó un repositorio de GitHub conocido como «VmWareHorizon» con el nombre de usuario «protections20» para alojar las cargas maliciosas.
La compañía de ciberseguridad dijo que está asociando los ataques a un grupo iraní separado no porque no estén relacionados, sino debido al hecho de que «actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones antes mencionadas».