Ein „potenziell destruktiver Akteur“, der mit der iranischen Regierung verbündet ist, nutzt aktiv die bekannte Log4j-Schwachstelle aus, um ungepatchte VMware Horizon-Server mit Ransomware zu infizieren.
Die Cybersecurity-Firma SentinelOne nannte die Gruppe „TunnelVision“, weil sie sich stark auf Tunneling-Tools stützt. Dabei wurden Überschneidungen mit den Taktiken einer größeren Gruppe beobachtet, die unter dem Namen Phosphorus sowie Charming Kitten und Nemesis Kitten geführt wird.
„Die TunnelVision-Aktivitäten zeichnen sich durch eine breite Ausnutzung von 1-Tages-Schwachstellen in den Zielregionen aus“, so die SentinelOne-Forscher Amitai Ben Shushan Ehrlich und Yair Rigevsky in einem Bericht, wobei die Eindringlinge im Nahen Osten und in den USA entdeckt wurden.
Neben der Log4Shell wurde auch die Ausnutzung der Fortinet FortiOS Path Traversal Schwachstelle (CVE-2018-13379) und der Microsoft Exchange ProxyShell Schwachstelle beobachtet, um sich zunächst Zugang zu den Zielnetzwerken zu verschaffen und diese anschließend auszunutzen.
„Die Angreifer von TunnelVision nutzen die Schwachstelle aktiv aus, um bösartige PowerShell-Befehle auszuführen, Backdoors einzurichten, Backdoor-Benutzer zu erstellen, Zugangsdaten zu sammeln und laterale Bewegungen durchzuführen“, so die Forscher.
Die PowerShell-Befehle dienen als Ausgangspunkt, um Tools wie Ngrok herunterzuladen und weitere Befehle mit Hilfe von Reverse Shells auszuführen, die dazu verwendet werden, eine PowerShell-Backdoor einzuschleusen, die in der Lage ist, Anmeldedaten zu sammeln und Aufklärungsbefehle auszuführen.
SentinelOne hat außerdem festgestellt, dass der Mechanismus zur Ausführung der Reverse-Web-Shell Ähnlichkeiten mit einem anderen PowerShell-basierten Implantat namens PowerLess aufweist, das Anfang des Monats von Cybereason-Forschern aufgedeckt wurde.
Während der gesamten Aktivität soll der Bedrohungsakteur ein GitHub-Repository mit dem Namen „VmWareHorizon“ unter dem Benutzernamen „protections20“ genutzt haben, um die schädlichen Nutzdaten zu hosten.
Das Cybersicherheitsunternehmen erklärt, dass es die Angriffe einem separaten iranischen Cluster zuordnet, nicht weil sie nicht miteinander in Verbindung stehen, sondern weil es „derzeit nicht genügend Daten gibt, um sie als identisch mit einer der oben genannten Zuordnungen zu betrachten“.