Log4Shell utilisé pour infecter les serveurs VMware Horizon avec des backdoor et des mineurs de crypto
La vulnérabilité Log4Shell est toujours exploitée pour fournir des portes dérobées (backdoors) et des mineurs de crypto-monnaies aux serveurs VMware Horizon vulnérables.
Mardi, les chercheurs en cybersécurité de Sophos ont déclaré que les attaques ont été détectées pour la première fois à la mi-janvier et qu’elles se poursuivent. Non seulement des portes dérobées et des mineurs de crypto-monnaies sont déployés, mais en outre, des scripts sont utilisés pour recueillir et voler des informations sur les périphériques.
Log4Shell est une vulnérabilité critique dans la bibliothèque de journalisation Java Apache Log4J. La vulnérabilité d’exécution de code à distance (RCE) non authentifiée a été rendue publique en décembre 2021 et est répertoriée sous le nom de CVE-2021-44228 avec un score CVSS de 10.0.
Obtenir un accès aux serveurs vulnérables
Les chercheurs ont averti que Log4Shell est susceptible de perdurer pendant des années, surtout si l’on considère la simplicité d’exploitation du bogue.
Microsoft a déjà détecté des attaques Log4Shell menées par des cybercriminels parrainés par des États, mais la plupart semblent se concentrer sur le minage de crypto-monnaies, les ransomwares et les activités de bot. Un correctif a été publié en décembre 2021, mais comme c’est souvent le cas avec les serveurs tournés vers Internet, de nombreux systèmes n’ont pas été mis à jour.
Selon Sophos, les dernières attaques Log4Shell ciblent des serveurs VMware Horizon non patchés avec trois portes dérobées différentes et quatre mineurs de crypto-monnaies.
Les attaquants à l’origine de cette campagne exploitent le bug pour obtenir un accès aux serveurs vulnérables. Une fois qu’ils se sont infiltrés dans le système, Atera agent ou Splashtop Streamer, deux logiciels légitimes de surveillance à distance, peuvent être installés, leur objectif étant détourné pour devenir des outils de surveillance par porte dérobée.
L’autre porte dérobée détectée par Sophos est Silver, un implant de sécurité offensive open source publié pour être utilisé par les pen testers et les équipes rouges.
Sophos indique que quatre mineurs sont liés à cette vague d’attaques : z0Miner, JavaX miner, Jin et Mimu, qui exploitent le Monero (XMR). Auparavant, Trend Micro a découvert que les opérateurs de z0Miner exploitaient la RCE d’Atlassian Confluence (CVE-2021-26084) pour des attaques de cryptojacking.
Une URL PowerShell liée à ces deux campagnes suggère qu’il pourrait également y avoir un lien, bien que cela reste incertain.
“Alors que z0Miner, JavaX et d’autres charges utiles ont été téléchargés directement par les shells web utilisés pour la compromission initiale, les bots Jin étaient liés à l’utilisation de Sliver et utilisaient les mêmes portefeuilles que Mimo, ce qui suggère que ces trois malwares ont été utilisés par le même acteur”, indiquent les chercheurs.
En outre, les chercheurs ont découvert des preuves du déploiement d’un reverse shell conçu pour collecter des informations sur les appareils et les sauvegardes.
“Log4J est installé dans des centaines de logiciels et de nombreuses entreprises peuvent ne pas être conscientes de la vulnérabilité qui se cache dans leur infrastructure, en particulier dans les logiciels commerciaux, open-source ou personnalisés qui ne bénéficient pas d’un support de sécurité régulier”, a commenté Sean Gallagher, chercheur senior en sécurité chez Sophos. “Et si les correctifs sont essentiels, ils ne suffiront pas si les attaquants ont déjà pu installer un shell web ou une porte dérobée dans le réseau.”
Source : “ZDNet.com”
