El pasado jueves la Agencia de Ciberseguridad y Seguridad de las Infraestructuras de Estados Unidos (CISA), junto con el Mando Cibernético de la Guardia Costera (CGCYBER), publicaron un aviso para advertir sobre los continuos intentos por parte de los actores de amenazas que explotan el fallo Log4Shell en los servidores VMware Horizon para vulnerar las redes objetivo.
"Desde diciembre de 2021, múltiples grupos de actores de amenazas han explotado Log4Shell en servidores VMware Horizon y [Unified Access Gateway] no parcheados y orientados al público", dijeron las agencias. "Como parte de esta explotación, los presuntos actores de APT implantaron malware de carga en los sistemas comprometidos con ejecutables incrustados que permiten el comando y control remoto (C2)".
En uno de los casos, el adversario habría sido capaz de moverse lateralmente dentro de la red de la víctima, obtener acceso a una red de recuperación de desastres y recoger y exfiltrar datos sensibles de las fuerzas del orden.
Log4Shell, es una vulnerabilidad de ejecución remota de código que afecta a la biblioteca de registro Apache Log4j, utilizada por una amplia gama de consumidores y servicios empresariales, sitios web, aplicaciones y otros productos. La explotación exitosa de la falla podría permitir a un atacante enviar un comando especialmente diseñado a un sistema afectado, permitiendo a los actores ejecutar código malicioso y tomar el control del objetivo.
Las agencias aseguran que los atacantes utilizaron el exploit para lanzar cargas útiles falsas, incluyendo scripts de PowerShell y una herramienta de acceso remoto llamada "hmsvc.exe" que está equipada con capacidades para registrar las pulsaciones de teclas y desplegar malware adicional. Todo esto se basa en la información recopilada como parte de dos intervenciones de respuesta a incidentes.
"El malware puede funcionar como un proxy de túnel C2, lo que permite a un operador remoto pivotar a otros sistemas y adentrarse en una red", señalaron las agencias, añadiendo que también ofrece un "acceso de interfaz gráfica de usuario (GUI) sobre el escritorio de un sistema Windows de destino".
Los scripts de PowerShell, observados en el entorno de producción de una segunda organización, facilitaron el movimiento lateral, permitiendo a los actores de la APT implantar un malware cargador que contenía ejecutables que incluían la capacidad de monitorizar remotamente el escritorio de un sistema, obtener acceso de shell inverso, exfiltrar datos y cargar y ejecutar binarios de siguiente etapa.
Además, el colectivo adversario aprovechó una vulnerabilidad de ejecución remota de código en VMware Workspace ONE Access and Identity Manager que salió a la luz en abril de 2022, para entregar el shell web Dingo J-spy.
La actividad continúa relacionada con Log4Shell, incluso después de más de seis meses, sugiere que la falla es de gran interés para los atacantes, incluidos los actores de amenazas persistentes avanzadas (APT) patrocinados por el Estado, que han apuntado oportunamente a los servidores sin parches para obtener un punto de apoyo inicial para la actividad de seguimiento.
Según la empresa de ciberseguridad ExtraHop, las vulnerabilidades de Log4j han sido objeto de incesantes intentos de escaneo y los sectores financiero y sanitario se han convertido en un mercado muy importante para los posibles ataques.
"Log4j está aquí para quedarse, veremos a los atacantes aprovecharlo una y otra vez", dijo Randori, propiedad de IBM, en un informe de abril de 2022. "Log4j está enterrado en capas y capas de código compartido de terceros, lo que nos lleva a la conclusión de que veremos casos de explotación de la vulnerabilidad Log4j en servicios utilizados por organizaciones que utilizan mucho código abierto."
En abril de este año hackers chinos apuntaron a VMWare para implementar “rootkit” una amenaza persistente avanzada china rastreada como Deep Panda que sirve para crear una puerta trasera y un novedoso paquete de software malicioso en máquinas infectadas con el objetivo de robar datos confidenciales.