İran hükümetiyle uyumlu “potansiyel olarak yıkıcı bir aktör”, yama uygulanmamış VMware Horizon sunucularına fidye yazılımı bulaştırmak için iyi bilinen Log4j güvenlik açığından aktif olarak yararlanıyor.
Siber güvenlik firması SentinelOne, grubu “TunnelVisionTünel açma araçlarına büyük ölçüde güvenmeleri nedeniyle, Taktiklerde, Phosphorus takma adıyla izlenen daha geniş bir grubun yanı sıra Charming Kitten ve Nemesis Kitten’da gözlemlenen örtüşmeler.
SentinelOne araştırmacıları Amitai Ben Shushan Ehrlich ve Yair Rigevsky, “TunnelVision etkinlikleri, hedef bölgelerdeki 1 günlük güvenlik açıklarından geniş ölçüde yararlanılmasıyla karakterize edilir.” dedim Bir raporda, Ortadoğu ve ABD’de tespit edilen izinsiz girişlerle
Log4Shell’in yanı sıra, kullanım sonrası için hedef ağlara ilk erişim elde etmek için Fortinet FortiOS yol geçiş kusurunun (CVE-2018-13379) ve Microsoft Exchange ProxyShell güvenlik açığının sömürülmesi de gözlemlendi.
Araştırmacılar, “TunnelVision saldırganları, kötü niyetli PowerShell komutlarını çalıştırmak, arka kapıları dağıtmak, arka kapı kullanıcıları oluşturmak, kimlik bilgilerini toplamak ve yanal hareket gerçekleştirmek için güvenlik açığından aktif olarak yararlanıyor” dedi.
PowerShell komutları, Ngrok gibi araçları indirmek ve kimlik bilgilerini toplama ve keşif komutlarını yürütme yeteneğine sahip bir PowerShell arka kapısını bırakmak için kullanılan ters kabuklar aracılığıyla daha fazla komut çalıştırmak için bir başlatma paneli olarak kullanılır.
SentinelOne ayrıca, Cybereason araştırmacıları tarafından bu ayın başlarında açıklanan PowerLess adlı başka bir PowerShell tabanlı implant ile ters ağ kabuğunu yürütmek için kullanılan mekanizmada benzerlikler belirlediğini söyledi.
Tüm etkinlik boyunca, tehdit aktörünün kötü niyetli yükleri barındırmak için “protections20” kullanıcı adı altında “VmWareHorizon” olarak bilinen bir GitHub deposunu kullandığı söyleniyor.
Siber güvenlik şirketi, saldırıları, ilgisiz oldukları için değil, “yukarıda belirtilen niteliklerden herhangi biri ile aynı olarak ele almak için şu anda yeterli veri olmadığı” gerçeği nedeniyle ayrı bir İran kümesiyle ilişkilendirdiğini söyledi.