A Sophos, empresa líder global em cibersegurança de próxima geração, divulgou descobertas de que cibercriminosos estão usando a vulnerabilidade Log4Shell para fornecer backdoors e scripts de criação de perfil para servidores VMware Horizon desatualizados, abrindo caminho para acesso persistente e futuros ataques de ransomware. A pesquisa, intitulada “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers”, detalha as ferramentas e técnicas usadas para comprometer os servidores e distribuir três backdoors diferentes e quatro criptomineradores. Os backdoors foram possivelmente lançados via Initial Access Brokers.

O Log4Shell é uma vulnerabilidade de execução remota de código no componente de log Java, o Apache Log4J, incorporado em centenas de produtos de software. Essa vulnerabilidade foi relatada anteriormente e corrigida em dezembro de 2021.

“Aplicativos usados amplamente, como o VMware Horizon, que são expostos à internet e precisam ser atualizados de forma manual, são particularmente vulneráveis à exploração em escala”, explica Sean Gallagher, pesquisador sênior de segurança da Sophos. “A pesquisa da Sophos revela ondas de ataques direcionados aos servidores Horizon, a partir de janeiro, que lançam uma série de backdoors e criptomineradores para servidores desatualizados, bem como scripts para coletar informações de dispositivos. A Sophos acredita que alguns desses backdoors podem ser implementados por Initial Access Brokers para proteger o acesso remoto persistente a um alvo de alto valor - que eles podem vender para outros invasores, como operadores de ransomware”.

As formas de ataque que a Sophos detectou por meio do Log4Shell para direcionar servidores Horizon vulneráveis incluem:

Duas ferramentas legítimas de monitoramento e gerenciamento remoto, agente Atera e Splashtop Streamer, provavelmente destinadas ao uso malicioso como em backdoors;
Backdoor malicioso chamado de Sliver;
Criptomineradores z0Miner, JavaX miner, Jin e Mimu;
Shells reversos - técnica utilizada para enviar comandos de um shell remotamente por um ponto de entrada - baseados em PowerShell que coletam informações de dispositivos e backups.

A análise também revelou que em algumas ocasiões o Sliver é entregue junto a scripts de criação de perfil Atera e PowerShell, e é usado para lançar as variantes Jin e Mimu do botnet do minerador XMrig Monero.

De acordo com a Sophos, os cibercriminosos estão usando diversas abordagens para infectar os alvos. Enquanto alguns dos ataques anteriores utilizaram o Cobalt Strike para preparar e executar as funções úteis do criptominerador, a maior onda de ataques, que começou em meados de janeiro de 2022, executou o script do instalador do criptominerador diretamente do componente Apache Tomcat do servidor VMware Horizon. E essa onda de ataques ainda está em andamento.

“As descobertas da Sophos apontam que cibercriminosos estão implementando esses ataques, portanto, a etapa mais importante de proteção é atualizar todos os dispositivos e aplicativos que usam o Log4J com a versão corrigida do software. Isso inclui opções atualizadas do VMWare Horizon se as organizações usarem o aplicativo na rede”, explica Gallagher. “O Log4J está instalado em centenas de produtos de software e muitas organizações podem não estar cientes da vulnerabilidade escondida em sua infraestrutura, principalmente em softwares comerciais, de código aberto ou personalizado que não têm suporte de segurança regular. E, embora a correção seja vital, não será suficiente se os invasores já tiverem instalado um web shell ou backdoor na rede. A defesa em profundidade e a atuação em qualquer detecção de mineradores e outras atividades anômalas é fundamental para evitar ser vítima de tais ataques", completa o executivo.

Para mais informações, leia o artigo “Horde of Miner Bots and Backdoors Leveraged Log4J to Attack VMware Horizon Servers” no Sophos News.

A Sophos monitorou de perto a atividade de ataque relacionada à vulnerabilidade do Log4Shell e publicou uma série de relatórios técnicos e consultivos detalhados, incluindo Log4Shell Hell – Anatomy of an Exploit Outbreak, Log4Shell Response and Mitigation Recommendations, Inside the Code: How the Log4Shell Exploit Works, e Log4Shell: No Mass Abuse, But No Respite, What Happened?.

Informações adicionais

Os produtos de endpoint da Sophos, como o Intercept X, protegem os usuários por meio da detecção das ações e comportamentos dos invasores;
Mais detalhes sobre o cenário de ameaças cibernéticas em evolução podem ser encontrados no Relatório de Ameaças Sophos 2022;
Táticas, técnicas e procedimentos (TTPs) e muito mais para diferentes tipos de ameaças estão disponíveis no SophosLabs Uncut, que fornece a mais recente inteligência de ameaças da Sophos;
Informações sobre comportamentos de invasores, relatórios de incidentes e conselhos para profissionais de operações de segurança estão disponíveis no Sophos News SecOps;
Saiba mais sobre o serviço de Rapid Response da Sophos que contém, neutraliza e investiga ataques 24 horas por dia, 7 dias por semana;
As quatro principais dicas para responder a um incidente de segurança do Sophos Rapid Response e do Managed Threat Response Team;
Leia as últimas notícias de segurança no site de notícias da Sophos Naked Security e no Sophos News.

Sobre a Sophos

A Sophos é líder mundial em cibersegurança de próxima geração, protegendo mais de 500.000 organizações e milhões de consumidores em mais de 150 países contra as ameaças cibernéticas mais avançadas da atualidade. Impulsionada por inteligência de ameaças, IA e machine learning da SophosLabs e SophosAI, oferece um amplo portfólio de produtos e serviços avançados para proteger usuários, redes e endpoints contra ransomware, malware, exploits, phishing e uma ampla gama de outros ataques cibernéticos. A Sophos fornece um único console de gerenciamento baseado em nuvem integrado, Sophos Central – a peça central de um ecossistema de segurança cibernética adaptável que apresenta um data lake centralizado que alavanca um conjunto rico de APIs abertas disponíveis para clientes, parceiros, desenvolvedores e outros fornecedores de cibersegurança. A Sophos vende seus produtos e serviços por meio de parceiros revendedores e provedores de serviços gerenciados (MSPs) em todo o mundo. A Sophos está sediada em Oxford, Reino Unido. Mais informações estão disponíveis em www.sophos.com.