Una ola de ataques cibernéticos que explotan la vulnerabilidad de ejecución remota de código (RCE) de Log4Shell en el componente de registro Java de Apache Log4j parece estar dirigida a los usuarios de los servidores VMware Horizon, según información reciente publicada por los analistas de Sophos.
En un artículo técnico publicado recientemente, Horda de bots mineros y puertas traseras aprovecharon Log4j para atacar servidores VMware Horizonlos investigadores de Sophos revelan cómo los atacantes continúan aprovechando la falta generalizada de atención a Log4Shell para entregar puertas traseras y scripts de creación de perfiles a los servidores VMware Horizon, sentando las bases para lograr un acceso duradero y persistente y facilitando futuros ataques de ransomware.
“Las aplicaciones ampliamente utilizadas, como VMware Horizon, que están expuestas a Internet y necesitan actualizarse manualmente, son particularmente vulnerables a la explotación a gran escala”, dijo Sean Gallagher, investigador sénior de seguridad de Sophos.
“Las detecciones de Sophos revelan oleadas de ataques dirigidos a servidores Horizon, a partir de enero, y entregan una variedad de puertas traseras y criptomineros a servidores sin parches, así como scripts para recopilar información del dispositivo”.
Sophos cree que las puertas traseras están siendo proporcionadas por agentes de acceso inicial (IAB), un elemento cada vez mejor aprovechado de la “cadena de suministro” del ransomware como servicio (RaaS). Dijo que había encontrado tres puertas traseras diferentes, así como cuatro criptomineros ilícitos, durante el curso de su investigación.
Las cargas útiles de ataque descubiertas por Gallagher y su equipo incluyen dos herramientas legítimas de administración y monitoreo remoto, el agente Atera y Splashtop Streamer, que se reutilizan para uso malicioso como puertas traseras; el backdoor Sliver, que ya es malicioso; y varios shells inversos basados en PowerShell para recopilar información de dispositivos y copias de seguridad. Además, los criptomineros descubiertos fueron z0Minder, JavaX miner, Jin y Mimu.
Sliver, en particular, a veces se entrega junto con los scripts de creación de perfiles de Atera y PowerShell para entregar Jin y Mimu, que son ambas variantes de la botnet minera XMrig Monero.
Se descubrió que los atacantes usaban varios enfoques diferentes para infectar a los objetivos, pero puede ser notable que en la ola más grande de ataques, que comenzó a mediados de enero, los atacantes se alejaron de la herramienta Cobalt Strike, que era muy popular, como un medio de preparación y ejecutar cargas útiles de cryptominer, hasta ejecutar el script del instalador de cryptominer directamente desde el componente Apache Tomcat del servidor VMware Horizon de destino.
“Los hallazgos de Sophos sugieren que múltiples adversarios están implementando estos ataques, por lo que el paso de protección más importante es actualizar todos los dispositivos y aplicaciones que incluyen Log4J con la versión parcheada del software. Esto incluye versiones parcheadas de VMware Horizon si las organizaciones usan la aplicación en su red”, dijo Gallagher.
“Log4J está instalado en cientos de productos de software y es posible que muchas organizaciones desconozcan la vulnerabilidad que acecha dentro de su infraestructura, particularmente en software comercial, de código abierto o personalizado que no cuenta con soporte de seguridad regular.
“Y aunque la aplicación de parches es vital, no será suficiente si los atacantes ya han podido instalar un shell web o una puerta trasera en la red. La defensa en profundidad y actuar ante cualquier detección de mineros y otras actividades anómalas es fundamental para evitar ser víctima de tales ataques”, dijo.