Versión estilizada de la bandera iraní formada por unos y ceros.

Los piratas informáticos aliados con el gobierno iraní están explotando la vulnerabilidad crítica Log4j para infectar a los usuarios de VMware sin parches con ransomware, dijeron investigadores el jueves.

La empresa de seguridad SentinelOne ha bautizado al grupo TunnelVision. El nombre pretende enfatizar la gran dependencia de TunnelVision en las herramientas de tunelización y la forma única en que se utilizan. En el pasado, TunnelVision ha explotado las denominadas vulnerabilidades de 1 día, es decir, vulnerabilidades que se parchearon recientemente, para piratear organizaciones que aún no han instalado la solución. Las vulnerabilidades en Fortinet FortiOS (CVE-2018-13379) y Microsoft Exchange (ProxyShell) son dos de los objetivos más conocidos del grupo.

Introduzca Log4Shell

Recientemente, SentinelOne informó que TunnelVision había comenzado a explotar una vulnerabilidad crítica en Log4j, una utilidad de registro de código abierto integrada en miles de aplicaciones. CVE-2021-44228 (o Log4Shell, ya que se rastrea o se conoce la vulnerabilidad) permite a los atacantes obtener fácilmente el control remoto de las computadoras que ejecutan aplicaciones escritas en el lenguaje de programación Java. El error picó a los jugadores más importantes de Internet y fue ampliamente atacado después de que se hizo público.

La investigación de SentinelOne muestra que la alineación continúa y que esta vez el objetivo son las empresas que ejecutan VMware Horizon, un producto de virtualización de escritorio y aplicaciones que se ejecuta en Windows, macOS y Linux.

«Los atacantes de TunnelVision explotaron activamente la vulnerabilidad para ejecutar comandos maliciosos de PowerShell, implementar puertas traseras, crear usuarios de puertas traseras, recopilar credenciales y realizar movimientos laterales», escribieron en una publicación los investigadores de la compañía Amitai Ben Shushan Ehrlich y Yair Rigevsky. «Por lo general, el atacante primero explota la vulnerabilidad de Log4j para ejecutar los comandos de PowerShell directamente y luego ejecuta comandos adicionales utilizando shells inversos de PS que se ejecutan a través del proceso de Tomcat».

Apache Tomcat es un servidor web de código abierto que VMware y otro software empresarial utilizan para alojar y servir aplicaciones web basadas en Java. Una vez instalado, un shell permite a los piratas informáticos ejecutar de forma remota los comandos de su elección en las redes explotadas. El PowerShell que se usa aquí parece ser una variante de este disponible públicamente. Una vez instalado, los miembros de TunnelVision lo utilizan para:

  • Ejecutar órdenes de reconocimiento.
  • Cree un usuario de puerta trasera y agréguelo al grupo de administradores de red
  • Recopile credenciales con ProcDump, SAM Hive Dumps y comsvcs MiniDump
  • Descargue y ejecute herramientas de tunelización, incluidas Plink y Ngrok, que se utilizan para tunelizar el tráfico del protocolo de escritorio remoto.

Los piratas informáticos utilizan varios servicios legítimos para alcanzar y disfrazar sus actividades. Estos servicios incluyen:

  • transferir.sh
  • pastebin.com
  • webhook.sitio
  • ufile.io
  • raw.githubusercontent.com

Las personas que deseen determinar si su organización se ha visto afectada deben buscar conexiones salientes inexplicables a estos servicios públicos legítimos.

Túneles, minerales y gatitos

El informe del jueves dice que TunnelVision se superpone con varios grupos de amenazas descubiertos por otros investigadores a lo largo de los años. Microsoft ha llamado a un grupo Phosphorus. Microsoft informó que el grupo intentó piratear una campaña presidencial de EE. UU. e instalar ransomware para generar ingresos o interrumpir a los oponentes. El gobierno federal también ha dicho que los piratas informáticos iraníes atacaron la infraestructura crítica en los EE. UU. con ransomware.

Según SentinelOne, TunnelVision también se superpone con dos grupos de amenazas rastreados por la firma de seguridad CrowdStrike como Charming Kitten y Nemesis Kitten.

«Estamos rastreando este grupo por separado bajo el nombre ‘TunnelVision'», escribieron los investigadores de SentinelOne. «Esto no significa que creamos que necesariamente no están relacionados, solo que actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones anteriores».

La publicación proporciona una lista de indicadores que los administradores pueden usar para determinar si se han visto comprometidos.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí