VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564
นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง
การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว
UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)
ในการแจ้งเตือนเมื่อเดือนมกราคม NHS Digital ผู้พัฒนาระบบ IT infrastructure และบริการสำหรับหน่วยงานด้านการดูแลสุขภาพใน United Kingdom กล่าวว่าได้สังเกตพบผู้โจมตีที่ยังไม่สามารถระบุตัวตนได้ มีการใช้ประโยชน์จากช่องโหว่ของ Log4J RCE ที่อยู่ใน VMware Horizon เพื่อติดตั้ง Web shell บนระบบที่ถูกโจมตี โดยผู้โจมตีสามารถใช้ Web Shell เพื่อดำเนินการขั้นตอนต่างๆ รวมถึงการติดตั้ง Ransomware และมัลแวร์อื่น ๆ และเพื่อขโมยข้อมูลจากระบบการดูแลสุขภาพ และเครือข่ายที่ถูกโจมตีได้
VMware ได้ออกเวอร์ชันอัปเดตของ VMware Horizon Servers ซึ่งแก้ไขช่องโหว่ดังกล่าวในเดือนธันวาคม 2564 โดยมีการแจ้งเตือนให้องค์กรต่างๆ อัปเกรดเป็นเวอร์ชันที่แก้ไขช่องโหว่ดังกล่าวแล้ว โดยระบุถึงความรุนแรงของช่องโหว่ Log4j และโอกาสในการถูกโจมตีได้ โดย VMware ยังได้ออกแพตช์อัปเดตสำหรับผลิตภัณฑ์อื่นๆ เพื่อแก้ไขช่องโหว่ของ Log4j แล้วเช่นเดียวกัน
CVE-2021-44228 (หรือที่รู้จักว่า Log4Shell) เป็นช่องโหว่ที่สำคัญที่สุดในสามช่องโหว่ที่ Apache เปิดเผยในเดือนธันวาคม 2021 ช่องโหว่นี้มีอยู่ในฟีเจอร์ JNDI (Java Naming and Directory Interface) ที่มีการเปิดใช้งานเป็นค่าเริ่มต้นในหลายเวอร์ชันตั้งแต่ Log4j 2.0-beta9 ถึง Log4j 2.14.1 ช่องโหว่ดังกล่าวทำให้ผู้โจมตีสามารถควบคุมระบบของเครื่องที่มีช่องโหว่จากระยะไกลได้อย่างสมบูรณ์ และถือว่าเป็นหนึ่งในช่องโหว่ที่มีผลกระทบต่อเนื่องมากที่สุด เนื่องจากมีผล กระทบต่อแอปพลิเคชัน Java เกือบทุกตัว และยังง่ายต่อการโจมตีอีกด้วย
Web Shells และ Cryptominers
Sophos กล่าวว่าจากการวิเคราะห์แสดงให้เห็นว่าผู้โจมตีใช้ประโยชน์จากช่องโหว่ในการรันสคริปต์ PowerShell เพื่อวางเครื่องมือ Cobalt Strike reverse-shell บนระบบที่โจมตีได้สำเร็จ แต่ในบางกรณี ผู้โจมตีจะใช้ Web Shell แทน
Sophos กล่าวว่า "เราพบว่ามีการนำ payloads ต่างๆ มาปรับใช้กับ Horizon hosts ที่กำหนดเป้าหมายโดยแคมเปญเหล่านี้" ซึ่งรวมถึง cryptocurrency miners และ backdoor หลายรายการ รวมถึงเครื่องมืออย่าง เช่น Atera agent และ Splashtop Streamer
Barlow รองประธานฝ่าย MSP ของ Sophos แนะนำให้องค์กรต่างๆ ดำเนินการตรวจสอบซอฟต์แวร์ทั้งหมดของตน และพิจารณาว่ายังมีช่องโหว่ที่ไม่ได้รับการแก้ไขของ Log4Shell หรือไม่ "พวกเขายังจำเป็นต้องตรวจสอบการโจมตีที่เกิดขึ้น แม้ว่าจะมีการอัปเดตแพตช์ของซอฟต์แวร์แล้ว แต่ก็เป็นไปได้ว่าจะมีการถูกติดตั้ง backdoor ทิ้งไว้ก่อนหน้าแล้ว"
ที่มา: darkreading