Crédit : Dreamstime
Un gang de cybercriminels connu pour cambrioler des systèmes informatiques et vendre l’accès à on a découvert qu’ils utilisaient une vulnérabilité Apache Log4j, Log4Shell, dans VMware Horizon non corrigé pour planter des cryptomineurs et des portes dérobées sur des systèmes ciblés.
Dans un site de blog publié mercredi, les chercheurs de Blackberry Ryan Gibson, Codi Starks et Will Ikard a révélé que Prophet Spider avait retardé les attaques, ce qui pouvait être trouvé de manière fiable en gardant un œil sur ws_TomcatService. exe, le service Tomcat utilisé par VMware Horizon.
Les chercheurs ont décrit qu’après avoir exploité la vulnérabilité Log4Shell pour pénétrer dans un système, les ennemis utilisent des commandes PowerShell pour télécharger une charge utile de deuxième étape. Dans le cas de Prophet Spider, les charges utiles étaient principalement une application logicielle d’extraction de crypto-monnaie, bien que dans certains cas, des balises Cobalt Strike – une sorte de porte dérobée du système – aient également été installées sur les ordinateurs.
Parmi les indications qui ont aidé à épingler les attaques sur Prophet Spider, il y avait son utilisation du chemin du dossier C: WindowsTemp7fde pour stocker les fichiers nuisibles, ont écrit les chercheurs. L’acteur dangereux a également téléchargé une copie de l’exécutable wget.bin, qui a toujours été utilisé par l’équipe pour transférer des fichiers supplémentaires sur des hôtes contaminés. L’adresse IP utilisée dans la station de téléchargement a également été précédemment créditée au groupe.
Prophet Spider grip recommande une augmentation des exploits
BlackBerry Vice President des solutions globales et des opérations techniques Tony Lee explique que les courtiers d’accès initiaux comme Prophet Spider pénètrent dans les systèmes informatiques, développent une emprise, puis offrent cet accès à un autre acteur nuisible, qui effectuera des tâches telles que voler des données, se déplacer latéralement dans le système ou le contaminer avec un ransomware. » S’ils trouvent la vulnérabilité, ils l’exploiteront « , a-t-il déclaré, » et attendront ensuite de voir qui sera le plus offrant. «
» Maintenant qu’ils ont la possibilité de maîtriser systèmes, je pense que nous verrons une légère augmentation de l’exploitation de Log4j « , ajoute Lee.
Lee a reconnu qu’il était impossible de déterminer le nombre de systèmes qui avaient réellement été compromis par le groupe. » Ils peuvent prendre de quelques semaines à un mois pour offrir l’accès « , décrit-il. Il déclare que l’étude Blackberry Research et les groupes Intelligence et Event Action ont pu vérifier les invasions dans plusieurs organisations.
Aucune verticale industrielle individuelle ne semblait dans le collimateur du gang. » Ils semblent opportunistes « , déclare Lee. « Nous n’avons pas vu de verticale particulière ciblée. C’est plutôt du genre » vaporisez et priez « . «
De nombreuses implémentations de VMware restent sans correctif
Dans leur message, les chercheurs de Blackberry ont gardé à l’esprit que la variété spécifique d’applications et leurs différentes versions — affecté par les vulnérabilités de Log4j peut ne jamais être totalement compris. VMware a lancé un correctif et des conseils d’atténuation en décembre 2021 en réaction à la vulnérabilité, ont-ils expliqué, de nombreuses applications restent sans correctif, ce qui les rend susceptibles d’être exploitées.
« Il est difficile pour de nombreuses organisations d’analyser et de repérer tous leurs propriétés numériques, même uniquement celles qui sont orientées vers l’extérieur », déclare Lee. » Je vois des organisations se battre pour identifier simplement leurs propriétés. Si vous ne pouvez pas les reconnaître, alors vous ne pouvez certainement pas les scanner. Et si vous ne pouvez pas les scanner, alors vous ne pouvez pas avoir un programme efficace de gestion des vulnérabilités. »
Toute l’actualité en temps réel, est sur L’Entrepreneur
