آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) به همراه فرماندهی سایبری گارد ساحلی (CGCYBER) روز پنجشنبه ۲۳ ژوئن هشداری مشترک درباره تلاشهای مستمر از سوی عوامل تهدید برای سوءاستفاده از نقص Log4Shell در سرورهای VMware Horizon برای نفوذ به شبکههای مورد هدف منتشر کردند.
این آژانسها گفتند[۱]: «از دسامبر ۲۰۲۱، چندین گروهِ عاملِ تهدید Log4Shell را روی سرورهایVMware Horizon و [Unified Access Gateway] وصله نشده، مورد بهرهبرداری قرار دادهاند. “بهعنوان بخشی از این بهرهبرداری، بازیگران مشکوک APT دژافزار loader را روی سیستمهای در معرض خطر با فایلهای اجرایی تعبیهشده که فرمان و کنترل از راه دور (C2) را قادر میسازد، پیادهسازی کردند.”
در یک نمونه، گفته میشود که دشمن توانسته است بهصورت جانبی در داخل شبکه قربانی حرکت کند، به شبکه بازیابی دسترسی پیدا کند و دادههای حساس اجرای قانون را جمعآوری و استخراج کند.
Log4Shell با شناسه CVE-2021-44228 (با امتیاز ۱۰ در مقیاس CVSS)، یک آسیبپذیری [۲] اجرای کد از راه دور است که بر کتابخانه گزارشگیری Apache Log4j تأثیر میگذارد که توسط طیف گستردهای از مصرفکنندگان و خدمات سازمانی، وبسایتها، برنامهها و سایر محصولات استفاده میشود [۳].
بهرهبرداری موفقیتآمیز از این نقص میتواند مهاجم را قادر میسازد تا دستوری را به سیستم آسیبدیده ارسال کند و بازیگران را قادر میسازد تا کدهای مخرب را اجرا کرده و کنترل هدف را در دستگیرند.
بر اساس اطلاعات جمعآوریشده بهعنوان بخشی از دو درگیری واکنش به حادثه، آژانسها گفتند که مهاجمان از این اکسپلویت برای رها کردن payload های سرکش، ازجمله اسکریپتهای PowerShell و یک ابزار دسترسی از راه دور به نام «hmsvc.exe» استفاده کردند که به قابلیتهایی برای ثبت ضربههای کلید و استقرار دژافزار اضافی مجهز است.
این آژانسها خاطرنشان کردند: «این دژافزار میتواند بهعنوان یک پروکسی تونلسازی C2 عمل کند، و به اپراتور راه دور اجازه میدهد تا به سیستمهای دیگر حرکت کند و بیشتر به داخل شبکه حرکت کند.» و افزودند که همچنین «رابط کاربری گرافیکی (GUI) دسترسی به دسکتاپِ سیستمِ دارای ویندوزِ مورد هدف را ارائه میکند.»
اسکریپتهای PowerShell مشاهدهشده در محیط که تولید یک سازمان دوم هستند حرکت جانبی را تسهیل میکند و بازیگران APT را قادر میسازد تا دژافزار loader حاوی فایلهای اجرایی را که شامل توانایی نظارت از راه دور دسکتاپ سیستم، دسترسی معکوس به پوسته، استخراج دادهها، و آپلود و نیز میشود، پیادهسازی کنند و باینریهای مرحله بعدی را بارگذاری و اجرا کنند.
علاوه بر این، گروه متخاصم از CVE-2022-22954، یک آسیبپذیری اجرای کد از راه دور درVMware Workspace ONE Access and Identity Manager که در آوریل ۲۰۲۲ آشکار شد، برای ارائه پوسته وب جاسوسی Dingo J استفاده کرد [۴].
فعالیتهای مداوم مرتبط با Log4Shell حتی پس از بیش از شش ماه نشان میدهد که این نقص موردتوجه مهاجمان است، ازجمله بازیگران تهدید دائمی پیشرفته (APT) که بهطور فرصتطلبانه سرورهای اصلاحنشده را هدف قرار دادهاند تا جای پایی اولیه برای فعالیتهای بعدی به دست آورند.
به گفته شرکت امنیت سایبری ExtraHop، آسیبپذیریهای Log4j در معرض تلاشهای بیوقفه اسکن قرارگرفتهاند و بخشهای مالی و مراقبتهای بهداشتی بهعنوان بازاری بزرگ برای حملات احتمالی در حال ظهور هستند.
Randori متعلق به IBM در گزارشی در آوریل ۲۰۲۲ گفت [۵]: “Log4j اینجاست که بماند، ما شاهد استفاده مهاجمان از آن بارها و بارها خواهیم بود.” Log4j در اعماق لایهها و لایههای کد شخص ثالث به اشتراک گذاشته شده است و ما را به این نتیجه میرساند که نمونههایی از آسیبپذیری Log4j را در سرویسهای مورداستفاده سازمانهایی که از منبع باز زیادی استفاده میکنند، مورد بهرهبرداری قرار گیرد.
منابع
[۱] https://www.cisa.gov/uscert/ncas/current-activity/2022/06/23/malicious-cyber-actors-continue-exploit-log4shell-vmware-horizon
[۲] https://thehackernews.com/2022/05/hackers-exploiting-vmware-horizon-to.html
[۳] https://apa.aut.ac.ir/?p=8517
[۴] https://thehackernews.com/2022/04/vmware-releases-patches-for-critical.html
[۵] https://www.randori.com/blog/log4j-top-targets-report
[۶] https://thehackernews.com/2022/06/log4shell-still-being-exploited-to-hack.html
ثبت ديدگاه