Home Ciberguerra Piratas informáticos iraníes apuntan a las fallas de VMware Horizon Log4j para...

Piratas informáticos iraníes apuntan a las fallas de VMware Horizon Log4j para desplegar un ransomware

Un “actor potencialmente destructivo” alineado con el gobierno de Irán está explotando activamente la conocida vulnerabilidad Log4j para infectar servidores VMware Horizon no parcheados con ransomware.

La empresa de ciberseguridad SentinelOne ha bautizado al grupo como “TunnelVision” debido a su fuerte dependencia de las herramientas de tunelización, con solapamientos en las tácticas observadas con las de un grupo más amplio rastreado bajo el apodo de Phosphorus, así como Charming Kitten y Nemesis Kitten.

“Las actividades de TunnelVision se caracterizan por la amplia explotación de vulnerabilidades de un día en las regiones objetivo”, dijeron en un informe los investigadores de SentinelOne Amitai Ben Shushan Ehrlich y Yair Rigevsky, con las intrusiones detectadas en Oriente Medio y Estados Unidos.

También se ha observado, junto a Log4Shell, la explotación del fallo de path traversal de Fortinet FortiOS (CVE-2018-13379) y la vulnerabilidad de Microsoft Exchange ProxyShell para obtener el acceso inicial a las redes objetivo para su posterior explotación.

Los comandos de PowerShell se utilizan como plataforma de lanzamiento para descargar herramientas como Ngrok y ejecutar otros comandos mediante reverse shells que se emplean para lanzar un backdoor de PowerShell capaz de recoger credenciales y ejecutar comandos de reconocimiento.

SentinelOne también dijo que identificó similitudes en el mecanismo utilizado para ejecutar la shell web inversa con otro implante basado en PowerShell llamado PowerLess que fue revelado por los investigadores de Cybereason a principios de este mes.

Durante toda la actividad, el actor de la amenaza habría utilizado un repositorio de GitHub conocido como “VmWareHorizon” bajo el nombre de usuario “protections20” para alojar las cargas útiles maliciosas.

La compañía de ciberseguridad dijo que está asociando los ataques a un clúster iraní separado no porque no estén relacionados, sino debido al hecho de que “actualmente no hay datos suficientes para tratarlos como idénticos a cualquiera de las atribuciones mencionadas”.