Log4Shell utilisé pour infecter les serveurs VMware Horizon avec des backdoors et des mineurs de cryptomonnaies

Log4Shell utilisé pour infecter les serveurs VMware Horizon avec des backdoors et des mineurs de cryptomonnaies

La vulnérabilité Log4Shell est toujours exploitée pour fournir des portes dérobées (backdoors) et des mineurs de cryptomonnaies aux serveurs VMware Horizon vulnérables.

Mardi, les chercheurs en cybersécurité de Sophos révélaient que les attaques détectées pour la première fois mi-janvier se poursuivent. Non seulement des portes dérobées et des mineurs de cryptomonnaies ont été déployés, mais en outre, des scripts sont utilisés pour recueillir et voler des informations sur les périphériques infectés.

Log4Shell est une vulnérabilité critique dans la bibliothèque de journalisation Java Apache Log4J. La vulnérabilité d’exécution de code à distance (RCE) non authentifiée a été rendue publique en décembre 2021. Elle est répertoriée sous le nom de CVE-2021-44228 avec un score CVSS de 10.0.

publicité

Obtenir un accès aux serveurs vulnérables

Les chercheurs alertent que Log4Shell est susceptible de perdurer pendant des années, surtout si l’on considère la simplicité d’exploitation de la vulnérabilité.

Microsoft a déjà détecté des attaques Log4Shell menées par des cybercriminels parrainés par des Etats, mais la plupart semblent se concentrer sur le minage de cryptomonnaies, les ransomwares et les activités de bot. Un correctif a été publié en décembre 2021, mais comme c’est souvent le cas avec les serveurs tournés vers internet, de nombreux systèmes n’ont pas été mis à jour.

Selon Sophos, les dernières attaques Log4Shell ciblent des serveurs VMware Horizon non patchés avec trois portes dérobées différentes et quatre mineurs de cryptomonnaies.

Accéder aux serveurs vulnérables

Les attaquants à l’origine de cette campagne exploitent le bug pour obtenir un accès aux serveurs vulnérables. Une fois qu’ils se sont infiltrés dans le système, Atera agent ou Splashtop Streamer, deux logiciels légitimes de surveillance à distance, peuvent être installés, leur objectif étant détourné pour devenir des outils de surveillance par porte dérobée.

L’autre porte dérobée détectée par Sophos est Silver, un implant de sécurité offensive open source publié pour être utilisé par les pen testers et les équipes rouges.

Sophos indique que quatre mineurs sont liés à cette vague d’attaques : z0Miner, JavaX miner, Jin et Mimu, qui exploitent le Monero (XMR). Auparavant, Trend Micro a découvert que les opérateurs de z0Miner exploitaient la RCE d’Atlassian Confluence (CVE-2021-26084) pour des attaques de cryptojacking.

Une URL PowerShell

Une URL PowerShell liée à ces deux campagnes suggère qu’il pourrait également y avoir un lien, bien que cela reste incertain.

« Alors que z0Miner, JavaX et d’autres charges utiles ont été téléchargés directement par les web shells utilisés pour la compromission initiale, les bots Jin étaient liés à l’utilisation de Silver et utilisaient les mêmes portefeuilles que Mimo, ce qui suggère que ces trois malwares ont été utilisés par le même acteur », indiquent les chercheurs.

En outre, les chercheurs ont découvert des preuves du déploiement d’un reverse shell conçu pour collecter des informations sur les appareils et les sauvegardes.

« Log4J est installé dans des centaines de logiciels et de nombreuses entreprises peuvent ne pas être conscientes de la vulnérabilité qui se cache dans leur infrastructure, en particulier dans les logiciels commerciaux, open source ou personnalisés qui ne bénéficient pas d’un support de sécurité régulier », a commenté Sean Gallagher, chercheur senior en sécurité chez Sophos. « Et si les correctifs sont essentiels, ils ne suffiront pas si les attaquants ont déjà pu installer un web shell ou une porte dérobée dans le réseau. »

Source : ZDNet.com

Leave a Reply

Your email address will not be published. Required fields are marked *