האקרים מנצלים את חולשת Log4Shell לפריצה לשרתים וירטואליים
ההאקרים מנסים להחדיר נוזקות מסוג דלת אחורית ו-Profiling Scripts לשרתי VMware Horizon שלא עודכנו בתיקוני אבטחה, ובכך לפתוח פתח למתקפות כופרה עתידיות - כך מצאו חוקרי סופוס
חוקרי סופוס מצאו באחרונה שלוש פרצות דלת אחורית וארבעה תהליכי כריית מטבעות קריפטוגרפיים, שפעלו בהיחבא בשרתי VMware Horizon – ואשר לא עודכנו בתיקוני אבטחה.
חברת האבטחה פרסמה מחקר על השימוש שעושים תוקפים בפרצת האבטחה Log4Shell כדי להחדיר נוזקות מסוג דלת אחורית ו-Profiling Scripts לשרתי VMware Horizon שלא עודכנו בתיקוני אבטחה, ובכך מסדירים גישה מתמשכת לשרתים אלה ופותחים פתח למתקפות כופרה עתידיות. המחקר מפרט את הכלים והטכניקות המשמשים לפריצת השרתים, להתקנת שלוש דלתות אחוריות ולהחדרת ארבע תוכנות כרייה שונות.
Log4Shell היא פרצת אבטחה, שמאפשרת הרצת נוזקה מרחוק ברכיב רישום היומן מבוסס ג'אווה של שרת Apache בשם Log4j – שמוטמע במאות מוצרי תוכנה. הפרצה דווחה ותוקנה בדצמבר 2021.
מטעני התקיפה המרובים שהחוקרים זיהו, שהשתמשו בפרצה כדי לתקוף שרתי Horizon פגיעים כוללים שני כלים לגיטימיים לניטור וניהול מרחוק – Atera agent ו-Splashtop Streamer, שנועדו ככל הנראה לשימוש זדוני כדלתות אחוריות; שירות הדלת האחורית הזדוני Silver; תוכנות כריית המטבעות הקריפטוגרפיים z0Miner, JavaX miner, Jin ו-Mimu; וכמה מעטפות גישה מרחוק, מבוססות PowerShell, שאוספות מידע על המכשיר והגיבויים המוגדרים עבורו.
בניתוח עלה שנוזקת Sliver מוחדרת לעתים יחד עם Profiling Scripts של אטרה ו-PowerShell, ומשמשת כדי להחדיר את הווריאנטים Jin ו-Mimu של רשת הבוטים לכריית מטבעות Xmrig Monero.
לדברי חוקרי סופוס, התוקפים משתמשים בכמה גישות שונות כדי להדביק את מטרותיהם. בעוד שחלק מהמתקפות הקודמות השתמשו בתוכנת Cobalt Strike על מנת להריץ את מטעני כריית המטבעות, הרי שגל המתקפות הגדול ביותר, שהחל באמצע ינואר האחרון, הריץ את הסקריפט המשמש להתקנת תוכנת הכרייה ישירות מתוך רכיב Apache Tomcat, שרץ על שרת VMware Horizon. לדברי החוקרים, "גל המתקפות הזה עודנו בעיצומו".
"הצעד ההגנתי החשוב ביותר: התקנת הגרסה המתוקנת של Log4j"
"יישומים בשימוש נרחב, כמו VMware Horizon, שחשופים לאינטרנט ודורשים עדכונים ידניים הם פגיעים במיוחד לניצול בקנה מידה נרחב", אמר שון גלאגר, חוקר אבטחה בכיר בסופוס. "גלי המתקפות על שרתי Horizon שאותן חשפנו החדירו מגוון של פרצות דלת אחורית ותוכנות כרייה לשרתים שלא עודכנו, כמו גם סקריפטים שמאפשרים איסוף מידע אודות השרת המותקף. אנחנו סבורים שחלק מפרצות הדלת האחורית הוחדרו באמצעות ספקי גישה ראשונית, שמנסים להבטיח גישה מרוחקת מתמשכת ליעדים משמעותיים, שאותם הם יכולים למכור לתוקפים אחרים, כגון מפעילי כופרות".
"תוקפים רבים משתמשים באמצעי פריצה אלה", הוסיף. "לכן, הצעד ההגנתי החשוב ביותר, הוא התקנת הגרסה המתוקנת של Log4j בכל השרתים והיישומים שבהם נעשה שימוש ברכיב זה. Log4j מותקן במאות מוצרי תוכנה וארגונים רבים עלולים שלא להיות מודעים לפרצת האבטחה שאורבת בתוך התשתיות שלהם. מדובר במיוחד בתוכנות מסחריות, בתוכנות קוד פתוח או בתוכנות מותאמות אישית, שאין להן תמיכת אבטחה קבועה. בעוד שתיקון זה הוא חיוני, ייתכן שהוא לא יספיק במצב שבו התוקפים כבר הצליחו להשיג גישת Web shell, או להתקין דלת אחורית ברשת הארגונית. הגנה לעומק ותגובה לכל גילוי של תוכנות כרייה ופעילות חריגה אחרת הן היבטים קריטיים בהתגוננות מפני מתקפות מסוג זה".
תגובות
(0)