首页 > 安全 > 正文

伊朗链接的TunnelVision APT正在积极利用Log4J漏洞

最后更新 :2022.02.24

伊朗链接TunnelVision APT组正在积极利用Log4j漏洞,将ransomware部署在未括的VMware Horizo n服务器上。

来自Sentinelone的研究人员已经观察到潜在的破坏性伊朗联系APT组TunnelVision正在积极利用Log4J漏洞和NBSP;在未分割的VMware Horizo n服务器上部署ransomware。

TUNNELVISININCS TTP与与伊朗联系国家州磷,&NBSP相关联的磷,&NBSP。迷人的小猫和克星。TunnelVision团队在其竞选活动中大力利用了一天的漏洞。

在哨兵专家期间监测了该集团的活动,国家赞助的黑客在包括Fortinet Fortio(CVE-2018-13379),Microsoft Exchange(ProxyShell)和最近log4shell。在几乎所有的攻击中,威胁演员都部署了隧道工具,例如快速反向代理客户端(FRPC)和Plink,以独特的方式包裹。

读取由Sentinelone发布的分析。

通常,威胁actor最初利用log4j漏洞直接运行PowerShell命令,然后通过PS反向shell运行进一步的命令,通过Tomcat进程执行。

123]威胁参与者利用LOG4Shell问题在VMware Horizo n中运行PowerShell命令,使用Webhook发送输出回来。 攻击者使用powershell命令下载像ngrok这样的工具,并运行进一步的命令,以建立反向shell,并删除用于收集凭据并执行横向移动的PowerShell后门。 研究人员注意到了一个掉落可执行文件包含一个混淆版本一个逆向壳,类似于无能为力的 backdoor由伊朗联系的APT组和NBSP雇用;(AKA'迷人的小猫','磷', newscaster,和 ajax security团队)在最近的攻击浪潮中。此集群单独为“TunnelVision”名称。这并不意味着我们认为它们必然是不相关的,只有目前的数据不足以将它们视为与上述任何一个属性相同的数据。结束报告,也包括妥协指标(IOC)。

- END -

看更多