Sophos發布攻擊者如何利用Log4Shell漏洞,在未修補的VMware Horizon伺服器,植入後門和分析指令碼的調查結果,這些手法將為日後持續存取和勒索軟體攻擊打下基礎。
最新的技術文章《大量挖礦機器人和後門利用Log4J攻擊VMware Horizon伺服器》,詳細介紹被用於入侵伺服器和植入3個不同的後門和4個加密挖礦程式的工具和手法。這些後門可能是由初始存取代理(IAB)植入的。
Log4Shell是Java日誌元件Apache Log4J中的一個遠端程式碼執行漏洞,被廣為使用在數百個軟體產品中。它於2021年12月被發現並進行修補。
Sophos資深安全研究員Sean Gallagher表示:「廣為使用的應用程式,例如面對網際網路且需要手動更新的VMware Horizon,特別容易受到利用。Sophos偵測發現了一波從1月份開始鎖定Horizon伺服器的攻擊,這些攻擊會向未經修補的伺服器植入一系列後門和加密挖礦程式,以及收集裝備資訊的指令碼。Sophos認為,部分後門可能是由初始存取代理植入的,因為他們想要持續從遠端存取這些有價值的目標,然後將其出售給其他攻擊者,例如勒索軟體操作者。」
Sophos偵測到使用Log4Shell鎖定易受攻擊Horizon伺服器的裝載,包括2個合法的遠端監控和管理工具Atera代理程式和Splashtop Streamer,它們很可能被惡意用作後門;惡意的Sliver後門程式;加密挖礦程式z0Miner、JavaX挖礦程式、Jin和Mimu;幾個會收集裝置和備份資訊的PowerShell反向命令介面。
根據Sophos分析顯示,Sliver有時會與Atera和PowerShell分析指令碼一起被植入,用於遞送XMrig Monero挖礦殭屍網路的Jin和Mimu變種。
根據Sophos指出,攻擊者正在使用幾種不同的方法感染目標。雖然早期一些攻擊使用Cobalt Strike來暫存和執行加密挖礦程式的裝載,但從2022年1月中旬開始的最大一波攻擊,則是直接從VMware Horizon伺服器的Apache Tomcat元件執行加密挖礦程式的安裝程序指令碼。這波攻擊仍在持續中。
Gallagher表示:「Sophos的調查結果表明,多個攻擊者正在進行這些攻擊,因此最重要的保護步驟是使用已修補Log4J版本的軟體升級所有的裝置和應用程式。包括VMWare Horizon的已修補版本,如果組織有在網路中使用這個應用程式的話。Log4J被廣為安裝在數百個軟體產品中,而且許多組織可能沒有意識到這個潛伏在基礎架構中的漏洞,尤其是商用、開放原始碼或缺乏一般安全支援的自訂軟體。雖然修補很重要,但如果攻擊者已經能夠在網路中安裝網頁命令介面或後門,那麼這些保護還不夠。進行深度防禦,並在發現挖礦程式和其他異常活動時採取行動,對於避免成為攻擊受害者非常重要。」