H CISA προειδοποίησε σήμερα ότι οι φορείς απειλών, συμπεριλαμβανομένων των ομάδων hacking που υποστηρίζονται από το κράτος, εξακολουθούν να στοχεύουν διακομιστές VMware Horizon και Unified Access Gateway (UAG) χρησιμοποιώντας τον απομακρυσμένο κώδικα Log4Shell (CVE-2021-44228). ευπάθεια εκτέλεσης.
Οι εισβολείς μπορούν να εκμεταλλευτούν το Log4Shell απομακρυσμένα σε ευάλωτους διακομιστές που εκτίθενται σε τοπική πρόσβαση ή πρόσβαση στο Διαδίκτυο για να μετακινηθούν πλευρικά στα δίκτυα μέχρι να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα που περιέχουν ευαίσθητα δεδομένα.
Μετά την αποκάλυψή του τον Δεκέμβριο του 2021, πολλοί παράγοντες απειλών άρχισαν να σαρώνουν και να εκμεταλλεύονται μη επιδιορθωμένα συστήματα, συμπεριλαμβανομένων των κρατικών ομάδων hacking από την Κίνα, το Ιράν, τη Βόρεια Κορέα και την Τουρκία, καθώς και αρκετούς μεσίτες πρόσβασης που χρησιμοποιούνται συνήθως από συμμορίες ransomware.
Σήμερα, σε μια κοινή συμβουλευτική με την Αμερικανική Ακτοφυλακή Κυβερνοδιοίκησης (CGCYBER), η υπηρεσία κυβερνοασφάλειας δήλωσε ότι οι διακομιστές έχουν παραβιαστεί χρησιμοποιώντας εκμεταλλεύσεις Log4Shell για να αποκτήσουν αρχική πρόσβαση σε δίκτυα στοχευμένων οργανισμών.
Μετά την παραβίαση των δικτύων, ανέπτυξαν διάφορα στελέχη κακόβουλου λογισμικού παρέχοντάς τους την απομακρυσμένη πρόσβαση που απαιτείται για την ανάπτυξη πρόσθετων ωφέλιμων φορτίων και τη διείσδυση εκατοντάδων gigabyte ευαίσθητων πληροφοριών.
“Στο πλαίσιο αυτής της εκμετάλλευσης, ύποπτοι ηθοποιοί APT εμφύτευσαν κακόβουλο λογισμικό φορτωτή σε παραβιασμένα συστήματα με ενσωματωμένα εκτελέσιμα που επιτρέπουν την απομακρυσμένη διοίκηση και έλεγχο (C2)”, αποκάλυψε.
“Σε έναν επιβεβαιωμένο συμβιβασμό, αυτοί οι παράγοντες του APT μπόρεσαν να μετακινηθούν πλευρικά μέσα στο δίκτυο, να αποκτήσουν πρόσβαση σε ένα δίκτυο ανάκτησης καταστροφών και να συλλέξουν και να διηθήσουν ευαίσθητα δεδομένα.”