Hackers chinos apuntan a servidores VMware Horizon con Log4Shell para implementar Rootkit

Se ha observado una amenaza persistente avanzada china rastreada como Deep Panda explotando la vulnerabilidad Log4Shell en los servidores VMware Horizon para implementar una puerta trasera y un nuevo rootkit en máquinas infectadas con el objetivo de robar datos confidenciales.

"La naturaleza de la focalización fue oportunista en la medida en que las infecciones múltiples en varios países y varios sectores ocurrieron en las mismas fechas", dijeron Rotem Sde-Or y Eliran Voronovitch, investigadores de FortiGuard Labs de Fortinet, en un informe publicado esta semana. "Las víctimas pertenecen a las industrias financiera, académica, cosmética y de viajes".

Se dice que Deep Panda, también conocido por los apodos de Shell Crew, KungFu Kittens y Bronze Firestone, ha estado activo desde al menos 2010, con ataques recientes "dirigidos a firmas legales para la exfiltración de datos y proveedores de tecnología para la construcción de infraestructura de comando y control", según Secureworks.

La firma de ciberseguridad CrowdStrike, que asignó el nombre con temática de panda al grupo en julio de 2014, lo llamó "uno de los grupos de intrusión cibernética de estado-nación chinos más avanzados".

El último conjunto de ataques documentados por Fortinet muestra que el procedimiento de infección implicó la explotación de la falla de ejecución remota de código Log4j (también conocida como Log4Shell) en servidores VMware Horizon vulnerables para generar una cadena de etapas intermedias, lo que finalmente llevó a la implementación de una puerta trasera denominada Milestone ("1.dll").

Basado en el código fuente filtrado del infame Gh0st RAT, pero con notables diferencias en el mecanismo de comunicación de comando y control (C2) empleado, Milestone también está diseñado para enviar información sobre las sesiones actuales en el sistema al servidor remoto.

También se detectó durante los ataques un rootkit del kernel llamado "Fire Chili" que está firmado digitalmente con certificados robados de compañías de desarrollo de juegos, lo que le permite evadir la detección por software de seguridad y ocultar operaciones de archivos maliciosos, procesos, adiciones de claves de registro y conexiones de red.

 

malware

Esto se logra mediante llamadas al sistema ioctl (control de entrada / salida) para ocultar la clave de registro del rootkit del controlador, los archivos de puerta trasera Milestone y el archivo y proceso del cargador utilizado para iniciar el implante.

La atribución de Fortinet a Deep Panda se deriva de las superposiciones entre Milestone e Infoadmin RAT, un troyano de acceso remoto utilizado por el sofisticado colectivo de piratería a principios de la década de 2010, con pistas adicionales que apuntan a similitudes tácticas con la del grupo Winnti.

Esto está respaldado por el uso de firmas digitales comprometidas pertenecientes a compañías de juegos, un objetivo de elección para Winnti, así como un dominio C2 (gnisoft [.] com), que ha sido vinculado previamente al actor patrocinado por el estado chino a partir de mayo de 2020.

"La razón por la que estas herramientas están vinculadas a dos grupos diferentes no está clara en este momento", dijeron los investigadores. "Es posible que los desarrolladores de los grupos compartieran recursos, como certificados robados e infraestructura C2, entre sí. Esto puede explicar por qué las muestras solo se firmaron varias horas después de ser compiladas".

La revelación se suma a una larga lista de grupos de piratería que han armado la vulnerabilidad Log4Shell para atacar la plataforma de virtualización de VMware.

En diciembre de 2021, CrowdStrike describió una campaña fallida emprendida por un adversario llamado Aquatic Panda que aprovechó la falla para realizar varias operaciones posteriores a la explotación, incluido el reconocimiento y la recolección de credenciales en sistemas específicos.

Desde entonces, varios grupos se han unido a la refriega, incluido el grupo iraní TunnelVision, que se observó explotando activamente el defecto de la biblioteca de registro Log4j para comprometer los servidores VMware Horizon sin parches con ransomware.

Más recientemente, la compañía de ciberseguridad Sophos destacó una serie de ataques contra servidores Horizon vulnerables que han estado en curso desde enero y han sido montados por actores de amenazas para extraer criptomonedas ilícitamente, instalar shells inversos basados en PowerShell o implementar agentes Atera para entregar cargas útiles adicionales de forma remota.

"Los intentos de comprometer los servidores Horizon se encuentran entre los exploits más específicos de las vulnerabilidades de Log4Shell debido a su naturaleza", dijeron los investigadores de Sophos, y agregaron que "plataformas como Horizon son objetivos particularmente atractivos para todo tipo de actores maliciosos porque están muy extendidos y pueden (si aún son vulnerables) encontrarse y explotarse fácilmente con herramientas bien probadas".

 

Fuente: Thehackernews

Comments are closed.

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.

ACEPTAR
Aviso de cookies