La vulnerabilidad Log4j apareció una vez más en los sistemas comprometidos después de que, según se informó, piratas informáticos iraníes patrocinados por el estado atacaron a los usuarios de VMware.
Según los analistas de ciberseguridad, el famoso grupo detrás de este ataque es TunnelVision.
TunnelVision explota la falla de Log4J
(Foto: Mati Mango de Pexels)
Los investigadores de ciberseguridad dijeron que el grupo iraní de piratas informáticos atacó los servidores de VMware con el último exploit de seguridad Log4j.
Según un completo informe de Laboratorios centinela El jueves 17 de febrero, los piratas informáticos se hicieron más populares cuando atacaron la utilidad de registro basada en Java Log4j.
Desde entonces, lograron acceder a miles de aplicaciones confiando en la ejecución remota de código. Durante su pico, se ha convertido en uno de los exploits más temidos que ocurrieron en Internet. Los expertos creían que seguiría atormentando a los usuarios en los próximos años.
Actualmente, el controvertido grupo denominado TunnelVision se centró en infectar VMware Horizon. Los usuarios de Windows, Linux y macOS pueden ejecutar este producto de virtualización en computadoras de escritorio.
Según Yair Rigevsky y Amitai Ben Shushan Ehrlich de Sentinel One, los ciberdelincuentes iraníes han participado activamente en comprometer VMware mediante el despliegue de puertas traseras y la recopilación de información confidencial de las víctimas.
Además de eso, también inyectan comandos de PowerShell y crean usuarios de puerta trasera. La falla de seguridad comenzó con el exploit Log4j en el que obtienen comandos a través de los shells inversos de PS gracias al proceso Tomcat.
Normalmente, VMware utiliza Apache Tomcat para el despliegue de aplicaciones web en Java. Desde este servidor, los piratas informáticos de TunnelVision pudieron controlar las redes de forma remota.
Qué hacen los piratas informáticos iraníes después de instalar PowerShell
Según otro informe de Ars Técnicaesto es lo que hace el grupo TunnelVision después de finalizar la configuración.
Crea un usuario de puerta trasera e inclúyelo en el grupo de administración de red.
Realizar la ejecución de comandos de reconocimiento.
Utiliza volcados de ProcDump, comsvcs MiniDump y SAM Hive para la recopilación de datos.
Instale Ngrok y Plink para iniciar el control de escritorio remoto.
Además, SentinelOne también observó que los piratas informáticos iraníes participaron en varios servicios “legítimos”. Como parte de comprometer los servidores VMware, estos son los servicios que están utilizando.
“Hacemos un seguimiento de este grupo por separado bajo el nombre TunnelVision. Esto no implica que creamos que no estén necesariamente relacionados, sólo que actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones antes mencionadas”, dijeron los expertos de SentinelOne.
Esta no es la primera vez que se utiliza la falla de seguridad Log4j para implementar ransomware en servidores VMware Horizon.
El mes pasado, Tech Times descubrió en un informe que los piratas informáticos chinos eran supuestamente responsables de infectar la plataforma con el ransomware Nightsky.
Según el artículo, los piratas informáticos pretendían aterrorizar a las víctimas exigiéndoles un rescate. A cambio, prometieron que no filtrarán la información personal de las personas involucradas.
Mientras tanto, el sitio de tecnología escribió en una historia diferente que los piratas informáticos norcoreanos llevaron a cabo una nueva campaña de phishing para los solicitantes de Lockheed Martin. El grupo Lazarus pretendía ser una empresa legítima con el objetivo de enviar malware a las víctimas a través de archivos adjuntos de correo electrónico.
ⓒ 2023 . .
