گروهی از هکرهای خرابکاری که با دولت ایران در حال همکاری هستند، با بهرهجویی از آسیبپذیری Log4j، سرورهای پچ نشده VMware Horizon را هدف حملات باجافزاری قرار دادند.
شرکت امنیتی SentinelOne به دلیل استفاده این گروه از ابزارهای تونلزنی، نام TunnelVision را برای آنها انتخاب کرده است. شایان ذکر است که در مشاهدات به عمل آمده تشابهات زیادی در تاکتیکهای اجرایی این گروه و گربه ملوس (Charmin kitten) دیده شده است.
محققان این شرکت در گزارش منتشر شده اعلام کردند که خصوصیت اصلی این گروه، بهرهجویی از آسیبپذیریهای یک روزه میباشد. همچنین این تیم در گزارش خود آورده است که حملات فوق در آسیای میانی و آمریکا مشاهده شناسایی شده است.
آسیبپذیری یک روزه، به آسیبپذیریهایی گفته میشود که شرکتهای سازنده از وجود آن باخبر هستند، و حتی بسته امنیتی برای رفع آن را منتشر کردهاند. اما به دلیل اهمال کاری برخی شرکتها و سازمانها، در نصب آن، به راحتی میتوان با اکسپلویتهای آماده، از آنها بهرهجویی کرد.
دیده شده که هکرها پس از موفقیت در نفوذ به سیستم قربانیان، از آسیبپذیریهای CVE-2018-13379 (باگ مسیر پیمایش داده در وب سرورها که امکان دسترسی به دادههای غیر مجاز را فراهم میکند) و آسیبپذیری پروکسی شل در مایکروسافت اکسچنج استفاده میکنند تا بتوانند دسترسی اولیه مورد نیازشان را تامین کنند.
به گفته محققان، این هکرها با بهرهجویی فعال از آسیبپذیریهای مطرح شده، دستورات پاور شل مخرب خود را اجرا میکنند تا بتوانند بک دور ایجاد کرده، اطلاعات لاگین سرور و فعالیتهای اخیر آن را استخراج کنند.
دستورات پاورشل برای دانلود ابزارهایی مثل Ngrok و اجرای دستورات بیشتر از طریق شل معکوس استفاده می شود. از این طریق هکرها میتوانند در پشتی ایجاد کنند که توانایی جمعآوری اطلاعاتی مثل رمزها و اجرای دستورات جاسوسی را دارا است.
به گفته این شرکت امنیتی، در مکانیزم پیادهسازی وب شل معکوس این حمله و حمله مبتنی بر پاورشل دیگری که اخیرا توسط سایبرسان با نام PoweLess، شناسایی شده، تشابه زیادی دارد.
در طی این حملات، هکر با نام کاربری protections20، از یک رشته با نام VmWareHorizon در گیتلب برای هاستینگ ویروسهای مخرب خود استفاده کرده است.
با توجه به اینکه سنتینال وان درحال مدارک کافی جهت شناسایی دقیق اپراتورهای فوق در دست ندارد، عامل این حملات را به یک گروه جدید از هکرهای ایرانی نسبت داده است.
هنوز نظری ثبت نشده است. شما اولین نظر را بنویسید.