Hacker Iran Targetkan Bug VMware Horizon Log4j

Hacker Iran Targetkan Bug VMware Horizon Log4j - "Aktor yang berpotensi berbahaya" yang terkait dengan pemerintah Iran secara agresif menggunakan kerentanan Log4j yang terkenal untuk menyerang server VMware Horizon yang tidak ditambal dengan ransomware.

SentinelOne, sebuah perusahaan cybersecurity, menyebut organisasi itu "TunnelVision" karena ketergantungan mereka yang kuat pada teknologi tunneling, dengan kesamaan dalam teknik yang dicatat dengan geng yang lebih besar dipantau dengan nama kode Fosfor, serta Charming Kitten dan Nemesis Kitten.

"Tindakan TunnelVision ditandai dengan eksploitasi luas kerentanan 1 hari di lokasi target," kata ahli SentinelOne Amitai Ben Shushan Ehrlich dan Yair Rigevsky dalam sebuah penelitian, dengan serangan ditemukan di seluruh Timur Tengah dan Amerika Serikat.

Seiring dengan Log4Shell, masalah traversal jalur Fortinet FortiOS (CVE-2018-13379) dan kerentanan Microsoft Exchange ProxyShell digunakan untuk memperoleh akses awal ke jaringan target untuk pasca-eksploitasi.

Alur Serangan Hacker Iran

Menurut para peneliti, "Penyerang TunnelVision telah secara aktif mengeksploitasi kerentanan untuk menjalankan perintah PowerShell berbahaya, menyebarkan backdoors, membangun pengguna backdoor, mengumpulkan password, dan melakukan gerakan lateral."

Instruksi PowerShell digunakan sebagai launchpad untuk mengunduh alat seperti Ngrok dan menjalankan perintah lebih lanjut melalui reverse shell, yang digunakan untuk menyebarkan backdoor PowerShell yang mampu mengumpulkan kata sandi dan menjalankan tugas pengintaian.

SentinelOne juga menyatakan bahwa mereka menemukan kesejajaran dalam metode yang digunakan untuk menjalankan shell web terbalik dengan infeksi berbasis PowerShell lain yang dijuluki PowerLess, yang dilaporkan awal bulan ini oleh para peneliti Cybereason.

Sepanjang aktivitas, aktor ancaman diyakini telah menjadi tuan rumah muatan berbahaya pada repositori GitHub yang disebut "VmWareHorizon" di bawah identitas "protections20."

Perusahaan cybersecurity mengatakan menghubungkan serangan itu dengan klaster Iran yang berbeda bukan karena mereka tidak terhubung, tetapi karena "saat ini ada data yang tidak cukup untuk mengklasifikasikannya mirip dengan atribusi yang disebutkan di atas."