Jonathan Greig Staff Writer
Jonathan Greig är journalist baserad i New York City.
Fullständig bio den 26 januari 2022 | Ämne: Säkerhet
Initial access broker-gruppen, Prophet Spider, har upptäckts utnyttja log4J-sårbarheten i VMware Horizon, enligt en ny rapport från forskare med BlackBerry Research & Intelligence- och Incident Response-team.
Även om VMware släppte en patch i december och har publicerat omfattande vägledning om hur man kan mildra problemet, är många implementeringar fortfarande oparpade.
Tony Lee, vice vd för globala tjänster teknisk verksamhet på BlackBerry, berättade för ZDNet att hans team har hittat bevis som korrelerar attacker från Prophet Spider med utnyttjandet av Log4J-sårbarheten i VMware Horizon.
“När en åtkomstmäklargrupp intresserar sig för en sårbarhet vars omfattning är så okänd, det är en bra indikation på att angripare ser ett betydande värde i dess utnyttjande, säger Lee. “Det är troligt att vi kommer att fortsätta se kriminella grupper som utforskar möjligheterna med Log4Shell-sårbarheten, så det är en attackvektor mot vilken försvarare måste utöva ständig vaksamhet.”
BlackBerry hittade massutbyggnader av programvara för gruvdrift för kryptovalutor och Cobalt Strike-fyrar men upptäckte också “ett fall av exploatering innehållande taktik, tekniker och procedurer relaterade till Prophet Spider IAB.”
De noterade att gruppen är känd för att äventyra nätverk och senare sälja åtkomst till ransomware-operatörer.
“En av indikatorerna som hjälpte oss att tillskriva händelsen till denna hotgrupp var deras användning av C:WindowsTemp7fde-mappsökvägen för att lagra skadliga filer. Hotaktören laddade också ner en kopia av den körbara filen wget.bin, som gruppen historiskt har använt för att få ytterligare filer till infekterade värdar. IP-adressen som används i nedladdningsvaggan har också tidigare tillskrivits Prophet Spider-gruppen”, skrev forskarna.
Säkerhetsföretag och många andra organisationer har varnat för Log4J-sårbarheter i VMware Horizon sedan början av året. Storbritanniens National Health Service (NHS) var en av de första som varnade för att hackare försökte utnyttja en Log4J-sårbarhet i VMware Horizon-servrar för att etablera webbskal som kunde användas för att distribuera skadlig programvara och ransomware, stjäla känslig information och komplettera annan skadlig attacker.
En talesperson för VMware sa att företaget “jobbar dygnet runt för att korrigera och ge nödvändig vägledning för kunder att göra detsamma.”
“Med SaaS-produkter kan företaget som tillhandahåller programvaran snabbt och effektivt implementera säkerhetskorrigeringarna. Men organisationer som använder lokala licenser för mjukvaruprodukter måste ta sina egna bekräftande åtgärder för att tillämpa säkerhetskorrigeringen i sin egen miljö”, förklarade företaget.
VMware sa att även med sina säkerhetsvarningar och ansträngningar att kontakta kunder direkt, fortsätter de att se att vissa företag inte har patchar.
“VMware Horizon-produkter är sårbara för kritiska Apache Log4j/Log4Shell-sårbarheter såvida de inte har rättats eller mildrats med hjälp av informationen i vår säkerhetsrådgivning, VMSA 2021-0028, som först publicerades den 10 december 2021 och uppdateras regelbundet med ny information” sa talesmannen.
“Kunder som inte har tillämpat vare sig korrigeringen eller den senaste lösningen som tillhandahålls i VMwares säkerhetsrådgivning riskerar att äventyras – eller kan redan ha blivit utsatta för hot av hotaktörer som utnyttjar Apache Log4shell-sårbarheten för att kompromissa aktivt med oparpade Horizon-miljöer som vänder sig mot internet. Varje gång vi ser sårbarheter som är så långtgående som Log4J är det avgörande att alla berörda användare går snabbt för att implementera säkerhetssvar.”
Säkerhet
Cybersäkerhet: 11 steg att ta när hotnivåerna ökar. Hon litade inte på sina flyttar. En enda Apple AirTag bevisade att hon hade rätt Hur tekniken är ett vapen i modern misshandel i hemmet Log4J: Microsoft upptäcker angripare som riktar sig mot SolarWinds sårbarhet De bästa antivirusprogram och appar: Håll din dator, telefon och surfplatta säker VMWare | Säkerhets-TV | Datahantering | CXO | Datacenter