أحد المهاجمين الإلكترونيين الإيرانيين التابعين لنظام الملالي يستغل ثغرة Log4j في خدمة VMware Horizon
أكتشف الباحثون الأمنيون أدلة جديدة على أن هناك مجموعة أخرى مدعومة من نظام الملالي تستغل ثغرة Log4j
ذكر أحد التقارير إن أحد الجهات المعروفة في مجال تهديد برامج الفدية المزعوم ارتباطه بنظام الملالي يستغل بنشاط منصة سطح المكتب الافتراضية لشركة VMware Horizon ، مما يوفر “استغلالًا واسعًا” لثغرات اليوم الواحد في الولايات المتحدة والشرق الأوسط.
هذه المجموعة، التي أطلق عليها باحثو الأمن السيبراني في شركة SentinelOne اسم TunnelVision نظرًا “لاعتمادهم الشديد” على الأدوات النفقية، يشبه العصابات الإلكترونية المزعومة الأخرى التابعة لنظام الملالي من حيث أنها عملية فدية في المقام الأول.
حتى هذه اللحظة، تم ربط تلك المجموعة المتورطة في التهديد باستغلال Fortinet FortiOS (CVE-2018-13379) و Microsoft Exchange (ProxyShell) وآخرها Log4Shell.
قال الباحثون إن المهاجمين قاموا باستغلال ثغرة في Log4j في خدمة Tomcat من VMware Horizon لتشغيل أوامر PowerShell الخبيثة ونشر الأبواب الخلفية وإنشاء مستخدمين خلفيين وحصد بيانات الاعتماد وإجراء حركة جانبية.
تقدم هجمات TunnelVision المزعومة تذكيرًا مهمًا لـ MSSPs و MSP: الاستفادة من الماسحات الضوئية وأدوات فحص الثغرات الأمنية لتحديد ثم إغلاق نقاط ضعف Log4j داخليًا ومن أجل العملاء.
إلى جانب الصين وكوريا الشمالية وروسيا، تُعتبر إيران من بين أخطر أربعة مبتزين إلكترونيين ترعاهم الدول القومية في جميع أنحاء العالم.
يُنصح مقدمو خدمات الأمن اعتبار TunnelVision تهديدًا خطيرًا محتملاً إذا كان ذلك بسبب قدرات برامج الفدية الخاصة به فقط. سيكون تحديث التصحيحات للعملاء قيد التنفيذ.
كتب باحثو شركة SentinelLabs Amitai Ben Shushan Ehrlich و Yair Rigevsky في إحدى المدونات: “في جميع هذه الحالات تقريبًا، استخدم القراصنة الأدوات النفقية ملفوفة بطريقة فريدة من نوعها”.
قال المؤلفون إن أكثر الأدوات النفقية شيوعًا هي التي يتم استخدامها بواسطة المجموعة هي Fast Reverse Proxy Client (FRPC) و Plink.
كانت شركة مايكروسوفت تتعقب أنشطة TunnelVision مثل مجموعة القرصنة Phosphorus، والتي ارتبطت في الانتخابات الرئاسية لعام 2020 بهجمات مستمرة على الحسابات الشخصية للأشخاص المرتبطين بحملة ترامب.
بينما يُعرف ال Phosphorus بحملات التجسس التي تستهدف مجموعة واسعة من المنظمات المرتبطة بالمصالح الجيوسياسية أو الاقتصادية أو حقوق الإنسان في الشرق الأوسط، فليس من الواضح ما إذا كانت مجموعة TunnelVision توجه هجماتها إلى أهداف مماثلة من عدمه.
كما تم تعقب الطاقم بواسطة CrowdStrike كـ Charming Kitten، وهو ممثل تهديد مستمر متقدم تتم مراقبته أيضًا من قبل شركات Mandiant، أو Nemesis Kitten.
ومع ذلك، تعزو شركة SentinelLabs مجموعة الأنشطة إلى TunnelVision وحدها، ليس لأنها تعتقد أن المشغلين “غير مرتبطين بالضرورة” بـ Phosphorus أو Charming Kitten، ولكن لأنه في هذه المرحلة ليس من الواضح ما إذا كانوا متطابقين مع هؤلاء المهاجمين.