Les pirates informatiques alignés avec le gouvernement iranien exploitent la vulnérabilité critique Log4j pour infecter les utilisateurs de VMware non corrigés avec un ransomware, ont déclaré jeudi des chercheurs.
La société de sécurité SentinelOne a baptisé le groupe TunnelVision. Le nom est destiné à souligner la forte dépendance de TunnelVision vis-à-vis des outils de tunnellisation et la manière unique dont il les déploie. Dans le passé, TunnelVision a exploité les vulnérabilités dites d’un jour, c’est-à-dire les vulnérabilités qui ont été récemment corrigées, pour pirater les organisations qui n’ont pas encore installé le correctif. Les vulnérabilités dans Fortinet FortiOS (CVE-2018-13379) et Microsoft Exchange (ProxyShell) sont deux des cibles les plus connues du groupe.
Entrez Log4Shell
Récemment, SentinelOne a rapporté que TunnelVision a commencé à exploiter une vulnérabilité critique dans Log4j, un utilitaire de journalisation open source intégré à des milliers d’applications. CVE-2021-44228 (ou Log4Shell, car la vulnérabilité est suivie ou surnommée) permet aux attaquants de prendre facilement le contrôle à distance des ordinateurs exécutant des applications dans le langage de programmation Java. Le bogue a mordu les plus grands acteurs d’Internet et a été largement ciblé dans la nature après qu’il soit devenu connu.
La recherche SentinelOne montre que le ciblage se poursuit et que cette fois, la cible est les organisations exécutant VMware Horizon, un produit de virtualisation de postes de travail et d’applications qui s’exécute sous Windows, macOS et Linux.
« Les attaquants de TunnelVision ont activement exploité la vulnérabilité pour exécuter des commandes PowerShell malveillantes, déployer des portes dérobées, créer des utilisateurs de porte dérobée, collecter des informations d’identification et effectuer des mouvements latéraux », ont écrit les chercheurs de la société Amitai Ben Shushan Ehrlich et Yair Rigevsky dans un article. « En règle générale, l’acteur de la menace exploite initialement la vulnérabilité Log4j pour exécuter directement les commandes PowerShell, puis exécute d’autres commandes au moyen de shells inversés PS, exécutés via le processus Tomcat. »
Apache Tomcat est un serveur Web open source que VMware et d’autres logiciels d’entreprise utilisent pour déployer et servir des applications Web basées sur Java. Une fois installé, un shell permet aux pirates d’exécuter à distance les commandes de leur choix sur les réseaux exploités. Le PowerShell utilisé ici semble être une variante de celui-ci accessible au public. Une fois installé, les membres de TunnelVision l’utilisent pour :
- Exécuter les commandes de reconnaissance
- Créer un utilisateur de porte dérobée et l’ajouter au groupe d’administrateurs réseau
- Collecter les informations d’identification à l’aide de ProcDump, des vidages de ruche SAM et de comsvcs MiniDump
- Téléchargez et exécutez des outils de tunnellisation, notamment Plink et Ngrok, qui sont utilisés pour tunnelliser le trafic du protocole de bureau à distance
Les pirates utilisent plusieurs services légitimes pour réaliser et masquer leurs activités. Ces services comprennent :
- transfert.sh
- pastebin.com
- webhook.site
- ufile.io
- raw.githubusercontent.com
Les personnes qui tentent de déterminer si leur organisation est affectée doivent rechercher des connexions sortantes inexpliquées à ces services publics légitimes.
Tunnels, minéraux et chatons
Le rapport de jeudi indique que TunnelVision chevauche plusieurs groupes de menaces exposés par d’autres chercheurs au fil des ans. Microsoft a surnommé un groupe Phosphorous. Le groupe, a rapporté Microsoft, a tenté de pirater une campagne présidentielle américaine et d’installer un ransomware dans le but de générer des revenus ou de perturber les adversaires. Le gouvernement fédéral a également déclaré que des pirates informatiques iraniens avaient ciblé des infrastructures critiques aux États-Unis avec des ransomwares.
SentinelOne a déclaré que TunnelVision chevauche également deux groupes de menaces que la société de sécurité CrowdStrike suit comme Charming Kitten et Nemesis Kitten.
« Nous suivons ce cluster séparément sous le nom de » TunnelVision « », ont écrit les chercheurs de SentinelOne. « Cela ne signifie pas que nous pensons qu’ils sont nécessairement sans rapport, seulement qu’il n’y a actuellement pas suffisamment de données pour les traiter comme identiques à l’une des attributions susmentionnées. »
Le message fournit une liste d’indicateurs que les administrateurs peuvent utiliser pour déterminer s’ils ont été compromis.