黑莓研究人员发现,有证据表明,来自初始访问代理组的攻击与VMware Horizon中Log4J漏洞的利用有关。
根据BlackBerry Research & Intelligence和 Incident Response团队的研究人员的一份新报告,最初的访问代理组织Prophet Spider被发现利用了VMware Horizon中的Log4J漏洞。
尽管 VMware在 12 月发布了一个补丁,并发布了有关如何缓解此问题的广泛指导,但许多实现仍未打补丁。
BlackBerry全球服务技术运营副总裁Tony Lee告诉ZDNet,他的团队已经发现证据表明Prophet Spider的攻击与VMware Horizon中Log4J漏洞的利用有关。
"当访问代理组对范围如此未知的漏洞感兴趣时,这很好地表明攻击者看到了其利用的重大价值,"Lee说。"我们可能会继续看到犯罪集团探索Log4Shell漏洞的机会,因此它是一个攻击媒介,防御者需要对此保持警惕。
黑莓发现了加密货币挖掘软件和钴罢工信标的大规模部署,但也发现了"一个包含与先知蜘蛛IAB相关的战术,技术和程序的开发实例"。
他们指出,众所周知,该组织会破坏网络,后来又出售对勒索软件运营商的访问权限。
"帮助我们将事件归因于此威胁组的指标之一是他们使用C:\Windows\Temp\7fde\文件夹路径来存储恶意文件。威胁参与者还下载了 wget.bin 可执行文件的副本,该组历来使用该副本将其他文件传输到受感染的主机上。下载底座中使用的IP以前也归因于先知蜘蛛组,"研究人员写道。
自今年年初以来,安全公司和许多其他组织已经警告VMware Horizon中的Log4J漏洞。英国国家卫生服务局(NHS)是最早警告黑客试图利用VMware Horizon服务器中的Log4J漏洞来建立可用于分发恶意软件和勒索软件,窃取敏感信息以及完成其他恶意攻击的Web shell之一。
VMware发言人表示,该公司正在"夜以继日地工作,以修补并为客户提供必要的指导。
"借助SaaS产品,提供软件的公司可以快速有效地实施安全补丁。但是,使用软件产品本地许可证的组织必须采取自己的积极步骤,在自己的环境中应用安全补丁,"该公司解释说。
VMware表示,即使有安全警报并努力直接联系客户,他们仍然看到一些公司没有打补丁。
"VMware Horizon产品容易受到关键Apache Log4j / Log4Shell漏洞的影响,除非使用我们的安全公告VMSA 2021-0028中提供的信息进行适当修补或缓解,该公告于2021年12月10日首次发布,并定期更新新信息,"发言人说。
"未应用 VMware 安全通报中提供的修补程序或最新解决方法的客户将面临被威胁行为者入侵的风险,或者可能已经受到威胁行为者的威胁,这些威胁行为者正在利用 Apache Log4shell 漏洞主动破坏未修补的、面向互联网的 Horizon 环境。每当我们看到像Log4J这样影响深远的漏洞时,所有受影响的用户都必须迅速采取行动实施安全响应。"