Log4j脆弱性再次出现在妥协系统据报道来自伊朗的国家支持的黑客攻击后VMware的用户。
根据网络安全分析师,这种攻击的背后是TunnelVision臭名昭著的团体。
TunnelVision利用Log4J缺陷
根据一项全面的报告哨兵实验室周四,2月17日,黑客变得更受欢迎,当他们达到基于java的Log4j日志记录工具。
从那时起,他们设法获得成千上万的应用程序依靠远程代码执行。在高峰期间,它已经成为其中一个最可怕的攻击发生在互联网上。专家认为,它将继续困扰着用户在未来几年。
目前,争议组名为TunnelVision关注感染VMware地平线。Windows、Linux和macOS用户可以运行这个桌面虚拟化产品。
根据Yair Rigevsky Amitai本书珊城埃利希从前哨,伊朗网络罪犯一直活跃在妥协部署VMware的后门和收集敏感信息的受害者。
除此之外,他们还注入PowerShell命令,以及创建后门用户。Log4j的安全缺陷开始利用他们获得命令通过PS反向壳由于Tomcat进程。
通常,VMware利用Apache Tomcat部署Java web应用程序。从这个服务器,TunnelVision黑客能够远程控制网络。
相关文章:(打破)伊朗黑客教程的视频如何入侵的Gmail或雅虎账户被泄露!
安装PowerShell后伊朗黑客做什么
另一份报告显示Ars 万博体育登录首页Technica,这是什么TunnelVision组完成后设置。
使一个后门的用户,包括网络管理组织。
进行侦察的执行命令。
利用ProcDump, comsvcs MiniDump,山姆蜂巢转储数据收集。
安装Ngrok和叮铃声启动远程桌面控制。
此外,SentinelOne也观察到伊朗黑客从事一些“合法”服务。作为妥协VMware服务器的一部分,这些都是他们使用的服务。
transfer.sh
pastebin.com
webhook.site
ufile.io
raw.githubusercontent.com
“我们追踪这TunnelVision名义单独集群。这并不意味着我们相信他们一定是不相关的,只是目前缺乏足够的数据来对待他们与任何上述归因,”SentinelOne专家说。
这不是第一次使用Log4j安全缺陷在VMware部署ransomware地平线服务器。
上个月,科技时代发现的一万博体育登录首页份报告中,中国黑客据称负责感染的平台夜空ransomware。
根据这篇文章,黑客旨在给受害者带来恐怖要求赎金。作为回报,他们承诺,他们不会泄露个人信息的相关人。
与此同时,科技网站写在一个不同万博体育登录首页的故事朝鲜黑客了洛克希德·马丁公司申请新的网络钓鱼活动。拉撒路集团假装是一个合法的公司向受害者发送恶意软件的目标通过电子邮件附件。
读也:糖Ransomware-as-a-Service操作目标个人设备较低的赎金要求
这篇文章是由科技时代万博体育登录首页
约瑟夫亨利写的