حملات باج افزاری هکرهای ایرانی با بهره‌جویی از باگ Log4j در VMware Horizon

دوشنبه, 2ام اسفند, 1400

منبع این مطلب هکر نیوز

امنیت در اینترنت

مطالب منتشر شده در این صفحه نمایانگر سیاست رسمی رادیو زمانه نیستند و توسط کاربران تهیه شده اند. شما نیز می‌توانید به راحتی در تریبون زمانه عضو شوید و مطالب خود را منتشر کنید.

گروهی از هکرهای خرابکاری که با دولت ایران در حال همکاری هستند، با بهره‌جویی از آسیب‌پذیری Log4j، سرورهای پچ نشده VMware Horizon را هدف حملات باج‌افزاری قرار دادند.

شرکت امنیتی SentinelOne به دلیل استفاده این گروه از ابزارهای تونل‌زنی، نام TunnelVision را برای آنها انتخاب کرده است. شایان ذکر است که در مشاهدات به عمل آمده تشابهات زیادی در تاکتیک‌های اجرایی این گروه و گربه ملوس (Charmin kitten) دیده شده است.

محققان این شرکت در گزارش منتشر شده اعلام کردند که خصوصیت اصلی این گروه، بهره‌جویی از آسیب‌پذیری‌های یک روزه می‌باشد. همچنین این تیم در گزارش خود آورده است که حملات فوق در آسیای میانی و آمریکا مشاهده شناسایی شده است.

آسیب‌پذیری یک روزه، به آسیب‌پذیری‌هایی گفته می‌شود که شرکتهای سازنده از وجود آن باخبر هستند، و حتی بسته امنیتی برای رفع آن را منتشر کرده‌اند. اما به دلیل اهمال‌ کاری برخی شرکتها و سازمانها، در نصب آن، به راحتی می‌توان با اکسپلویت‌های آماده، از آنها بهره‌جویی کرد.

دیده شده که هکرها پس از موفقیت در نفوذ به سیستم قربانیان، از آسیب‌پذیری‌های CVE-2018-13379 (باگ مسیر پیمایش داده در وب سرورها که امکان دسترسی به داده‌های غیر مجاز را فراهم می‌کند) و آسیب‌پذیری پروکسی شل در مایکروسافت اکسچنج استفاده می‌کنند تا بتوانند دسترسی اولیه مورد نیازشان را تامین کنند.

به گفته محققان، این هکرها با بهره‌جویی فعال از آسیب‌پذیریهای مطرح شده، دستورات پاور شل مخرب خود را اجرا می‌کنند تا بتوانند بک دور ایجاد کرده، اطلاعات لاگین سرور و فعالیت‌های اخیر آن را استخراج کنند.

دستورات پاورشل برای دانلود ابزارهایی مثل Ngrok و اجرای دستورات بیشتر از طریق شل معکوس استفاده می شود. از این طریق هکرها می‌توانند در پشتی ایجاد کنند که توانایی جمع‌آوری اطلاعاتی مثل رمزها و اجرای دستورات جاسوسی را دارا است.

به گفته این شرکت امنیتی، در مکانیزم پیاده‌سازی وب شل معکوس این حمله و حمله مبتنی بر پاورشل دیگری که اخیرا توسط سایبرسان با نام PoweLess، شناسایی شده، تشابه زیادی دارد.

در طی این حملات، هکر با نام کاربری protections20، از یک رشته با نام VmWareHorizon در گیت‌لب برای هاستینگ ویروسهای مخرب خود استفاده کرده است.

با توجه به اینکه سنتینال وان درحال مدارک کافی جهت شناسایی دقیق اپراتورهای فوق در دست ندارد، عامل این حملات را به یک گروه جدید از هکرهای ایرانی نسبت داده است.

نظرات

نظر (به‌وسیله فیس‌بوک)

این مطلب خلاف آیین نامه تریبون است؟ آن را به ایمیل tribune@radiozamaneh.com گزارش کنید