Cibercriminosos “potencialmente destrutivos” aliados do governo do Irã estão explorando ativamente a conhecida vulnerabilidade Log4j para infectar servidores VMware Horizon com ransomware.
A VMware Horizon é uma plataforma de virtualização de desktops e apps.
A firma de cibersegurança SentinelOne apelidou o grupo hacker de “TunnelVision” devido ao seu uso constante de ferramentas de túnel, que se misturam com táticas observadas em grupos como Phosphorus, Charming Kitten e Nemesis Kitten.
“As atividades do TunnelVision são caracterizadas por uma exploração ampla de vulnerabilidades de 1 dia nas regiões afetadas”, afirmaram pesquisadores da SentinelOne em relatório após invasões detectadas no Oriente Médio e nos EUA.
Ao lado da Log4Shell, há também a exploração da falha de passagem de caminho do Fortinet FortiOS (CVE-2018-13379) e da vulnerabilidade ProxyShell do Microsoft Exchange para ganhar acesso inicial às redes das vítimas para posterior exploração.
“Os atacantes do TunnelVision estão explorando a vulnerabilidade ativamente para executar comandos de PowerShell, implantar backdoors, criar usuários backdoor, roubar credenciais e performar movimentos laterais”, declararam os pesquisadores.
FONTE/LEIA MAIS: The Hacker News
