Log4Shell Masih Dieksploitasi untuk Meretas Server VMWare untuk Mengeksfiltrasi Data Sensitif

Log4Shell Masih Dieksploitasi untuk Meretas Server VMWare untuk Mengeksfiltrasi Data Sensitif

Badan Keamanan Cybersecurity dan Infrastruktur AS (CISA), bersama dengan Coast Guard Cyber ​​Command (CGCYBER), pada hari Kamis merilis peringatan bersama tentang upaya berkelanjutan dari pihak pelaku ancaman untuk mengeksploitasi kelemahan Log4Shell di server VMware Horizon untuk melanggar target. jaringan.

“Sejak Desember 2021, beberapa kelompok pelaku ancaman telah mengeksploitasi Log4Shell pada VMware Horizon yang belum ditambal dan menghadap ke publik. [Unified Access Gateway] “Sebagai bagian dari eksploitasi ini, pelaku APT yang dicurigai menanamkan malware pemuat pada sistem yang disusupi dengan executable tertanam yang memungkinkan perintah dan kontrol jarak jauh (C2),” kata agensi.

Dalam satu contoh, musuh dikatakan dapat bergerak secara lateral di dalam jaringan korban, mendapatkan akses ke jaringan pemulihan bencana, dan mengumpulkan dan mengekstrak data penegakan hukum yang sensitif.

Log4Shell, dilacak sebagai CVE-2021-44228 (skor CVSS: 10,0), adalah kerentanan eksekusi kode jarak jauh yang memengaruhi pustaka logging Apache Log4j yang digunakan oleh berbagai konsumen dan layanan perusahaan, situs web, aplikasi, dan produk lainnya.

Eksploitasi cacat yang berhasil dapat memungkinkan penyerang mengirim perintah yang dibuat khusus ke sistem yang terpengaruh, memungkinkan aktor untuk mengeksekusi kode berbahaya dan menguasai target.

Berdasarkan informasi yang dikumpulkan sebagai bagian dari dua keterlibatan respons insiden, agensi mengatakan bahwa penyerang mempersenjatai eksploitasi untuk menjatuhkan muatan jahat, termasuk skrip PowerShell dan alat akses jarak jauh yang dijuluki “hmsvc.exe” yang dilengkapi dengan kemampuan untuk mencatat penekanan tombol dan menyebarkan tambahan perangkat lunak jahat.

Related Post :   28+ Aplikasi Android Ini dengan 10 Juta Unduhan dari Play Store Mengandung Malware

“Malware dapat berfungsi sebagai proxy tunneling C2, memungkinkan operator jarak jauh untuk berporos ke sistem lain dan bergerak lebih jauh ke dalam jaringan,” kata agensi, menambahkan bahwa ia juga menawarkan “akses antarmuka pengguna grafis (GUI) melalui sistem Windows target. Desktop.”

Skrip PowerShell, diamati di lingkungan produksi organisasi kedua, memfasilitasi pergerakan lateral, memungkinkan aktor APT untuk menanamkan malware pemuat yang berisi file yang dapat dieksekusi yang mencakup kemampuan untuk memantau desktop sistem dari jarak jauh, mendapatkan akses shell terbalik, mengekstrak data, dan mengunggah dan mengeksekusi binari tahap berikutnya.

Lebih jauh lagi, kelompok musuh memanfaatkan CVE-2022-22954, kerentanan eksekusi kode jarak jauh di VMware Workspace ONE Access and Identity Manager yang terungkap pada April 2022, untuk menghadirkan web shell Dingo J-spy.

Keamanan cyber

Aktivitas terkait Log4Shell yang sedang berlangsung bahkan setelah lebih dari enam bulan menunjukkan bahwa kelemahan tersebut sangat menarik bagi penyerang, termasuk aktor ancaman persisten lanjutan (APT) yang disponsori negara, yang secara oportunis menargetkan server yang belum ditambal untuk mendapatkan pijakan awal untuk aktivitas lanjutan .

Menurut perusahaan keamanan siber ExtraHop, kerentanan Log4j telah menjadi sasaran upaya pemindaian tanpa henti, dengan sektor keuangan dan perawatan kesehatan muncul sebagai pasar yang sangat besar untuk potensi serangan.

“Log4j ada di sini untuk tinggal, kita akan melihat penyerang memanfaatkannya lagi dan lagi,” kata Randori milik IBM dalam laporan April 2022. “Log4j terkubur jauh ke dalam lapisan dan lapisan kode pihak ketiga yang dibagikan, membawa kami pada kesimpulan bahwa kami akan melihat contoh kerentanan Log4j dieksploitasi dalam layanan yang digunakan oleh organisasi yang menggunakan banyak sumber terbuka.”

Related Post :   Ransomware Maui Korea Utara Secara Aktif Menargetkan Organisasi Kesehatan AS


Tinggalkan Balasan

Alamat email Anda tidak akan dipublikasikan.