Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), bersama dengan Coast Guard Cyber Command (CGCYBER), pada hari Kamis merilis peringatan bersama tentang upaya berkelanjutan dari pihak pelaku ancaman untuk mengeksploitasi kelemahan Log4Shell di server VMware Horizon untuk melanggar target. jaringan.
“Sejak Desember 2021, beberapa kelompok pelaku ancaman telah mengeksploitasi Log4Shell pada VMware Horizon yang belum ditambal dan menghadap ke publik. [Unified Access Gateway] “Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” kata agensi.
Dalam satu contoh, musuh dikatakan dapat bergerak secara lateral di dalam jaringan korban, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data penegakan hukum yang sensitif.
Log4Shell, dilacak sebagai CVE-2021-44228 (skor CVSS: 10,0), adalah kerentanan eksekusi kode jarak jauh yang memengaruhi pustaka logging Apache Log4j yang digunakan oleh berbagai konsumen dan layanan perusahaan, situs web, aplikasi, dan produk lainnya.
Eksploitasi cacat yang berhasil dapat memungkinkan penyerang mengirim perintah yang dibuat khusus ke sistem yang terpengaruh, memungkinkan aktor untuk mengeksekusi kode berbahaya dan menguasai target.
Berdasarkan informasi yang dikumpulkan sebagai bagian dari dua keterlibatan respons insiden, agensi mengatakan bahwa penyerang mempersenjatai eksploitasi untuk menjatuhkan muatan jahat, termasuk skrip PowerShell dan alat akses jarak jauh yang dijuluki “hmsvc.exe” yang dilengkapi dengan kemampuan untuk mencatat penekanan tombol dan menyebarkan tambahan perangkat lunak jahat.
“Malware dapat berfungsi sebagai proxy tunneling C2, memungkinkan operator jarak jauh untuk berporos ke sistem lain dan bergerak lebih jauh ke dalam jaringan,” kata agensi, menambahkan bahwa ia juga menawarkan “akses antarmuka pengguna grafis (GUI) melalui sistem Windows target. Desktop.”
Skrip PowerShell, diamati di lingkungan produksi organisasi kedua, memfasilitasi pergerakan lateral, memungkinkan aktor APT untuk menanamkan malware pemuat yang berisi file yang dapat dieksekusi yang mencakup kemampuan untuk memantau desktop sistem dari jarak jauh, mendapatkan akses shell terbalik, mengekstrak data, dan mengunggah dan mengeksekusi binari tahap berikutnya.
Lebih jauh lagi, kelompok musuh memanfaatkan CVE-2022-22954, kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access and Identity Manager yang terungkap pada April 2022, untuk menghadirkan web shell Dingo J-spy.
Aktivitas terkait Log4Shell yang sedang berlangsung bahkan setelah lebih dari enam bulan menunjukkan bahwa kelemahan tersebut sangat menarik bagi penyerang, termasuk aktor ancaman persisten lanjutan (APT) yang disponsori negara, yang secara oportunis menargetkan server yang belum ditambal untuk mendapatkan pijakan awal untuk aktivitas lanjutan .
Menurut perusahaan keamanan siber ExtraHop, kerentanan Log4j telah menjadi sasaran upaya pemindaian tanpa henti, dengan sektor keuangan dan perawatan kesehatan muncul sebagai pasar yang sangat besar untuk potensi serangan.
“Log4j ada di sini untuk tinggal, kita akan melihat penyerang memanfaatkannya lagi dan lagi,” kata Randori milik IBM dalam laporan April 2022. “Log4j terkubur jauh ke dalam lapisan dan lapisan kode pihak ketiga yang dibagikan, membawa kami pada kesimpulan bahwa kami akan melihat contoh kerentanan Log4j dieksploitasi dalam layanan yang digunakan oleh organisasi yang menggunakan banyak sumber terbuka.”