A Cybersecurity and Infrastructure Security Agency (CISA) e o Comando Cibernético da Guarda Costeira (CGCYBER) emitiram uma advertência conjunta de que a vulnerabilidade do Log4Shell está sendo explorada por criminosos cibernéticos para comprometer servidores do VMware Horizon e do Unified Access Gateway (UAG).
VMware Horizon é uma plataforma usada pelos administradores para prover e executar desktops e aplicativos virtuais em uma nuvem híbrida. Por outro lado, o UAG permite aos usuários acesso protegido aos recursos existentes dentro da rede.
De acordo com o CISA, uma vez, um ator de ameaça persistente (APT) invadiu a rede interna da vítima, estabeleceu uma infraestrutura de recuperação de desastres e obteve dados confidenciais. “Como parte de seu ataque, foi sugerido que os atores APT inseriram vírus de carga nos sistemas afetados, permitindo a execução remota de comandos e controles (C2)”, acrescentou o CISA.
Uma falha de segurança no Log4j, chamada de Log4Shell, torna possível a execução de código remoto nos sistemas que usam a biblioteca “Log4j”. Esta vulnerabilidade torna possível a execução de código malicioso em aplicativos que usam a biblioteca Apache Log4j, que é usada por muitas organizações, empresas, aplicações e serviços.
Exame de Ataque: Estudar e examinar a ameaça a um determinado sistema.
O CGCyber adota uma abordagem proativa de caça a ameaças para proteger organizações que foram comprometidas por atacantes que exploraram o Log4Shell no VMware Horizon. Esta investigação revelou que os invasores, depois de ter acesso ao sistema, instalaram o “hmsvc.exe”, que foi identificado como um malware.
Os estudiosos estudaram a mostra de malware hmsvc.exe e verificaram que o programa se apresentava como um serviço válido do Windows e uma modificação do programa SysInternals LogonSessions.
A análise do especialista em malwares determinou que o arquivo hmsvc.exe foi executado com os mais elevados privilégios num sistema operacional Windows e contêm um programa incorporado que possibilita aos agressores de segurança registrar os movimentos do teclado, transmitir e executar o código malicioso.
O vírus malicioso pode agir como um servidor proxy de túnel C2, que lhe dá a possibilidade de um controlador remoto entrar em outros computadores e se mover por várias redes. A primeira vez que o malware foi executado, foi programado uma tarefa para rodar a cada hora.
De acordo com a CISA, durante uma resposta a um incidente, eles viram tráfego de ida e volta entre a vítima e o suspeito endereço IP APT.
Inicialmente, os atacantes conseguem acesso ao ambiente da vítima para implantar software ou atualizações prontas para o usuário, explorando o Log4Shell em servidores VMware Horizon não afetados. A CISA também percebeu que os adversários usavam scripts PowerShell para realizar movimentos laterais, recuperar e executar malwares de carregamento com a capacidade de monitorar remotamente um sistema, obter uma shell reversa e exfiltrar dados confidenciais.
As investigações posteriores descobriram que os invasores usaram o CVE-2022-22954, uma vulnerabilidade RCE no VMware ONE workspace e Identity Manager, para implantar o Dingo J-Spy, um backdoor de código aberto.
Respostas a incidentes e litígios são termos sinônimos.
O CISA e o CGCYBER aconselharam que sejam tomadas várias medidas se um responsável de sistemas detectar que sua rede foi hackeada.
- Acolhendo a prática de separar o sistema vulnerável é um passo fundamental para a segurança.
- Examine os arquivos, informações e materiais pertinentes.
- O programa de computador deve ser mantido atualizado e corrigido periodicamente.
- Diminua o serviço de alojamento não fundamental para limitar o alcance de ataque e instale DMZ, exerça rigorosa regulamentação do acesso à rede e WAF para defender contra ataques.
- Organizações são encorajadas a seguir as melhores práticas de gestão de identidade e acesso (IAM) implementando autenticação multifator (MFA), fornecendo senhas robustas e restringindo o acesso ao usuário.
Faça o favor de divulgar esse artigo.
- Malware é um tipo de programa mal-intencionado que pode ser usado para obter dados confidenciais.
- Falhas de segurança que podem ser usadas por invasores para obter acesso ao sistema são conhecidas como vulnerabilidades de segurança.