Злоумышленники продолжают эксплуатировать Log4Shell в системах VMware Horizon

security

Агентство по кибербезопасности и защите инфраструктуры (CISA) и Киберкомандование Береговой охраны США (CGCYBER) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предупредить, что субъекты киберугроз, включая спонсируемые государством субъекты современных постоянных угроз (APT), продолжают использовать CVE-2021-44228 (Log4Shell) в серверах VMware Horizon® и Unified Access Gateway (UAG) для получения первоначального доступа к организациям, которые не применили доступные исправления или обходные пути.


С декабря 2021 года многочисленные группы эксплуатировали Log4Shell на серверах VMware Horizon и UAG без исправлений, предназначенных для публичного доступа. В рамках этой эксплуатации предполагаемые субъекты APT внедряли на взломанные системы вредоносное ПО-загрузчик со встроенными исполняемыми файлами, позволяющими удаленно командовать и управлять (C2). В одном из подтвержденных случаев взлома эти субъекты APT смогли продвинуться в сети вбок, получить доступ к сети аварийного восстановления, собрать и вывести конфиденциальные данные.

Indicators of Compromise

IPv4

  • 104.155.149.103
  • 104.223.34.198
  • 109.248.150.13
  • 92.222.241.76

IPv4 Port Combinations

  • 104.223.34.198:443
  • 192.95.20.8:80
Комментарии: 0