Night Sky fidye yazılımı çetesi, VMware Horizon sistemlerine erişmek için Log4Shell olarak da bilinen Log4j günlük kitaplığındaki kritik CVE-2021-44228 güvenlik açığından yararlanmaya başladı.
Tehdit aktörü, bazıları teknoloji ve siber güvenlik sektörlerinde yer alan meşru şirketlerin kimliğine bürünen alanlardan halka açık ağda açığa çıkan savunmasız makineleri hedef alıyor.
Saldırılar Ocak ayı başında başladı
Aralık 2021’in sonlarında güvenlik araştırmacısı MalwareHunterTeam tarafından tespit edildi, Night Sky fidye yazılımı, kurumsal ağları kilitlemeye odaklanıyor. Birden fazla kurbanı şifreledi ve birinden 800.000 dolar fidye istedi.
Pazartesi günü Microsoft, Çin merkezli bir aktörün DEV-0401 olarak izlediği, internette açığa çıkan VMware Horizon sistemlerinde Log4Shell güvenlik açığından yararlanmak ve Night Sky fidye yazılımını dağıtmak için yeni bir kampanya hakkında bir uyarı yayınladı.
VMware Horizon, bulutta masaüstü ve uygulama sanallaştırması için kullanılır ve kullanıcıların özel bir istemci veya bir web tarayıcısı aracılığıyla bunlara uzaktan erişmelerine olanak tanır.
Ayrıca, tüm sanal sistem filosunda daha iyi yönetim, güvenlik uyumluluğu ve otomasyon için yöneticiler için bir çözümdür.
VMware, Horizon ürünlerinde Log4Shell’i yamaladı ve geçici çözümler düzeltmeyi içeren yeni sürümü yükleyemeyen müşteriler için (2111, 7.13.1, 7.10.3). Ancak, bazı şirketler düzeltmeyi henüz uygulamadı.
“4 Ocak gibi erken bir tarihte saldırganlar, VMware Horizon çalıştıran internete yönelik sistemlerdeki CVE-2021-44228 güvenlik açığından yararlanmaya başladı. Araştırmamız, bu kampanyalardaki başarılı izinsiz girişlerin NightSky fidye yazılımının yayılmasına yol açtığını gösteriyor” Microsoft
Şirket, grubun geçmişte LockFile, AtomSilo ve Rook gibi diğer fidye yazılımı ailelerini dağıtmasıyla bilindiğini de ekliyor.
Bu aktörün önceki saldırıları, Confluence gibi internete açık sistemlerdeki güvenlik sorunlarından da yararlandı (CVE-2021-26084) ve şirket içi Exchange sunucuları (CVE-2021-34473 – ProxyKabuğu). Night Sky’ın yukarıda bahsedilen fidye yazılımı operasyonlarının bir devamı olduğuna inanılıyor.
Rook fidye yazılımıyla bağlantı zaten kuruldu. Kötü amaçlı yazılımda tersine mühendislik yapıldıktan sonra, Jiří Vinopal – Çek Cumhuriyeti CERT’deki adli tıp analisti, şunu keşfetti: Night Sky, Rook fidye yazılımının bir çatalıdır.
Microsoft, Night Sky fidye yazılımı operatörlerinin siber güvenlik firmaları Sophos, Trend Micro, teknoloji şirketleri Nvidia ve Rogers Corporation gibi meşru şirketler tarafından kullanılan etki alanlarını taklit eden komuta ve kontrol sunucularına güvendiğini belirtiyor.
Microsoft’un uyarısı bir başkasının arkasından geliyor İngiltere Ulusal Sağlık Servisi’nden uyarı (NHS) tarafından 5 Ocak’ta Log4Shell istismarlarıyla VMware Horizon dağıtımlarını hedefleyen tehdit aktörleri hakkında.
Çekici saldırı vektörü
Log4Shell, açık kaynaklı Log4J bileşeni, ulus devlet bilgisayar korsanları ve siber suçlular için çekici bir saldırı vektörüdür. düzinelerce satıcı.
Kimlik doğrulama olmadan kod yürütülmesini sağlamak için hatadan yararlanmak, minimum çaba gerektirir. Tehdit aktörü, kötü niyetli bir sunucuya bir geri arama veya istek başlatabilir ve bu sunucunun kötü niyetli bir konuma geri arama yapmasına neden olmak için yalnızca bir siteyi ziyaret etmesi veya belirli bir dize araması gerekir.
Güvenlik açığı, yerel bir düşman tarafından yanal olarak hassas dahili sistemlere geçmek için halka açık internete veya yerel ağdan açığa çıkan savunmasız makinelerde uzaktan kullanılabilir.
İlk “üst düzey” fidye yazılımı çetelerinden biri Log4Shell’i entegre edin Conti, ilk kavram kanıtı (PoC) açıklandıktan sadece üç gün sonra, 12 Aralık’ta potansiyel bir saldırı yolu olarak buna ilgi gösterdi.
Yeni gelen bir başka fidye yazılımı çetesi Konser, PoC’nin GitHub’da ortaya çıktığı ertesi gün istismardan yararlanmaya başladı.
İfşasını takip eden günlerde, çoklu tehdit oyuncular Log4j hatasını kullanmaya başladı. İlk yararlananlar, devlet destekli bilgisayar korsanları ve fidye yazılımı çeteleri ile kripto para madencileri oldu.
Güncelleme [January 11, 08:57 EST]: Night Sky fidye yazılımının bir Rook fidye yazılımı çatalı olduğu bilgisi eklendi.