Esses cibercriminosos atacaram empresas de energia dos EUA usando a vulnerabilidade Log4Shell
quando foi o ataque a empresas de energia dos EUA?
A vulnerabilidade do Log4shell está sendo usada pelos hackers apoiados pelo Estado por trás da notória gangue de roubo de criptomoedas Lazarus para entrar em negócios de energia na América do Norte e no Japão para fins de espionagem.
Os pesquisadores de segurança do Talos da Cisco descobriram que os hackers do Lazarus estão usando servidores VMware Horizon sem patches voltados para a Internet para obter acesso inicial a utilitários nos Estados Unidos, Canadá e Japão, explorando vulnerabilidades no Log4J, um componente de registro de aplicativos de código aberto. Os atacantes apoiados pela Coreia do Norte usam software adaptado para espionagem sustentada.
O grupo Lazarus, também conhecido como Hidden Cobra e APT38, é notório por roubar centenas de milhões de dólares em criptomoedas de vários negócios de criptomoedas. O Tesouro dos EUA colocou Lazarus na lista negra em 2019 por seu suposto envolvimento em assaltos ao sistema bancário e de criptomoedas que beneficiaram o desenvolvimento de armas nucleares e mísseis balísticos da Coreia do Norte.
Idealmente, as empresas teriam corrigido essa vulnerabilidade meses atrás. Nove meses depois que a VMware publicou suas atualizações do Log4Shell para servidores Horizon, a Agência de Segurança Cibernética e Infraestrutura (CISA) emitiu um aviso em setembro pedindo às empresas que abordassem as vulnerabilidades do VMware Horizon.
A Microsoft afirma que hackers que trabalham para o Ministério de Inteligência e Segurança do Irã (MOIS), conhecido como MuddyWater, estão utilizando o Log4Shell para penetrar em empresas israelenses usando software de servidor não corrigido de um fornecedor israelense que possui o Log4J.
Os atores do Lazarus obtêm acesso por meio de instâncias vulneráveis do VMware Horizon e, em seguida, liberam o VSingle, YamaBot e um terceiro implante oculto que a Cisco chama de “MagicRAT” após obter acesso. As informações sobre a metodologia do grupo foram divulgadas graças às divulgações da Cisco. O objetivo do grupo, ao que parece, é obter acesso permanente para obter dados úteis.
“A Cisco Talos identificou a exploração da vulnerabilidade Log4Shell em servidores VMWare Horizon voltados para o público como o vetor de ataque inicial. O comprometimento é seguido por uma série de atividades para estabelecer um ponto de apoio nos sistemas antes que os invasores implantem malware adicional e se movam lateralmente pela rede”, diz a Cisco em um post no blog .