Şu şekilde izlenen bir ilk erişim komisyoncusu grubu Peygamber Örümcek yama uygulanmamış VMware Horizon Sunucularında Log4Shell güvenlik açığından yararlanan bir dizi kötü amaçlı etkinlikle ilişkilendirilmiştir.
yeni göre Araştırma BlackBerry Research & Intelligence ve Incident Response (IR) ekipleri tarafından bugün yayınlanan raporda, siber suç aktörü, mağdur sistemlere ikinci aşama bir yük indirme eksikliğini fırsatçı bir şekilde silahlandırıyor.
Gözlemlenen yükler arasında kripto para madencileri, Cobalt Strike Beacons ve web kabukları yer alıyor ve bunlar, Birleşik Krallık Ulusal Sağlık Servisi’nin (NHS) VMware Horizon sunucularındaki güvenlik açıklarından kötü amaçlı web kabuklarını düşürmek ve kalıcılık sağlamak için aktif olarak yararlanılması konusunda alarm veren önceki bir tavsiyeyi doğruluyor. Takip eden saldırılar için etkilenen ağlarda.
Log4Shell, popüler Apache Log4j kitaplığını etkileyen ve özel hazırlanmış bir dizeyi günlüğe kaydederek uzaktan kod yürütülmesine neden olan bir istismara atıfta bulunmak için kullanılan bir takma addır. Geçen ay kusurun kamuya açıklanmasından bu yana, tehdit aktörleri, etkilenen sunucuların tam kontrolünü ele geçirmek için çeşitli izinsiz giriş kampanyaları için bu yeni saldırı vektörünü hızlı bir şekilde operasyonel hale getirdi.
BlackBerry, kötü amaçlı dosyaları depolamak için “C: .bin” yürütülebilir dosyası, grup tarafından kullanılan altyapıdaki çakışmaların yanı sıra ek ikili dosyaları getirir.
CrowdStrike, “Peygamber Örümcek, öncelikle savunmasız web sunucularını tehlikeye atarak kurbanlara erişim sağlar ve operasyonel hedeflere ulaşmak için çeşitli düşük yaygınlıklı araçlar kullanır.” kayıt edilmiş Ağustos 2021’de, grubun hedef ortamlara ilk erişim elde etmek için Oracle WebLogic sunucularındaki kusurlardan aktif olarak yararlandığı tespit edildiğinde.
Diğer birçok ilk erişim komisyoncusu gibi, dayanak noktaları karanlık ağda bulunan yer altı forumlarında en yüksek teklifi verene satılır ve daha sonra fidye yazılımı dağıtımı için erişimden yararlanır. Peygamber Örümcek’in en az Mayıs 2017’den beri aktif olduğu biliniyor.
Bu, VMware Horizon çalıştıran internete yönelik sistemlerin Log4Shell istismarları kullanılarak ilk kez saldırıya uğramasından çok uzak. Bu ayın başlarında Microsoft, DEV-0401 olarak izlenen Çin merkezli bir operatörü, ele geçirilmiş sunuculara NightSky adlı yeni bir fidye yazılımı türü dağıttığı için çağırdı.
Horizon sunucularına yönelik saldırı, VMware’i müşterilerini yamaları uygula hemen. Sanallaştırma hizmetleri sağlayıcısı, “Bu güvenlik açığının sonuçları, özellikle açık İnternet’ten gelen trafiği kabul eden sistemler olmak üzere, herhangi bir sistem için ciddidir.” uyarıldı.
BlackBerry’nin küresel hizmetler teknik operasyonlarından sorumlu başkan yardımcısı Tony Lee, “Bir erişim komisyoncusu grubu, kapsamı çok bilinmeyen bir güvenlik açığıyla ilgilendiğinde, saldırganların bu güvenlik açığından yararlanmada önemli bir değer gördüğünün iyi bir göstergesidir.” Dedi.
Lee, “Log4Shell güvenlik açığının fırsatlarını araştıran suç gruplarını görmeye devam edeceğiz, bu nedenle savunucuların sürekli uyanık olması gereken bir saldırı vektörü” dedi.
.
