İranlı Hackerlar Fidye Yazılımı Dağıtmak İçin VMware Horizon’daki Log4j Zafiyetini Kullanıyor

İran hükümeti destekli hacker gurublarının yama uygulanmamış VMware Horizon sunucularına fidye yazılımı bulaştırmak için Log4j zafiyetini kullandıkları belirtildi. SentinelOne araştırmacıları Amitai Ben Shushan Ehrlich ve Yair Rigevsky , Orta Doğu ve ABD’de izinsiz girişlerin tespit edildiği bir raporda, “TunnelVision faaliyetleri, hedef bölgelerdeki 1 günlük güvenlik açıklarının geniş bir şekilde kullanılmasıyla karakterize ediliyor” dedi.

Araştırmacılar, “TunnelVision saldırganları, kötü niyetli PowerShell komutlarını çalıştırmak, arka kapıları dağıtmak, arka kapı kullanıcıları oluşturmak, kimlik bilgilerini toplamak ve yanal hareket gerçekleştirmek için güvenlik açığından aktif olarak yararlanıyor” dedi. PowerShell komutları, Ngrok gibi araçları indirmek ve kimlik bilgilerini toplama ve keşif komutlarını yürütme yeteneğine sahip bir PowerShell arka kapısını bırakmak için kullanılan ters kabuklar aracılığıyla daha fazla komut çalıştırmak için bir başlatma paneli olarak kullanılır. Tüm aktivite boyunca, saldırganların malicious payload’ları barındırmak için “protections20” kullanıcı adı altında “VmWareHorizon” olarak bilinen bir GitHub deposunu kullandığı söyleniyor.

Kaynka: thehackernews.com

Exit mobile version