VMware Horizon Servers ที่หลายองค์กรใช้งานเพื่อทำให้เข้าถึง Apps ต่างๆ ขององค์กรได้อย่างปลอดภัยสำหรับผู้ใช้งานที่ต้องทำงานจากที่บ้าน หรือต้องใช้การ Remote เข้ามาในการทำงาน ซึ่งทำให้เป็นเป้าหมายยอดนิยมสำหรับผู้โจมตีที่ต้องการใช้ประโยชน์จากช่องโหว่ Apache Log4j Remote code execution ที่มีการเปิดเผยในเดือนธันวาคม พ.ศ. 2564

นักวิจัยจาก Sophos กล่าวในสัปดาห์นี้ว่าพวกเขาได้สังเกตเห็นว่าการโจมตีเซิร์ฟเวอร์ Horizon ที่มีช่องโหว่ซึ่งเริ่มตั้งแต่วันที่ 19 มกราคม พ.ศ. 2565 จนถึงปัจจุบัน ในการโจมตีหลายผู้โจมตีพยายามจะมีการพยายามติดตั้ง cryptocurrency miners เช่น JavaX miner, Jin, z0Miner, XMRig และเครื่องมืออื่นๆ ที่คล้ายคลึงกัน และในหลายกรณี Sophos สังเกตเห็นผู้โจมตีพยายามติดตั้ง backdoors เพื่อทำให้สามารถเข้าถึงระบบที่ควบคุมไว้ได้อย่างต่อเนื่อง

การวิเคราะห์ชี้ให้เห็นว่าการที่ผู้โจมตีใช้ backdoors ก็เพื่อเป็น Initial access brokers (IABs) ที่ทำให้ผู้โจมตีรายอื่นสามารถเข้าถึงเครือข่ายที่ถูกควบคุมไว้ โดยมีการเก็บค่าบริการ โดยกลุ่มผู้โจมตีด้วย Ransomware เป็นลูกค้ารายใหญ่ที่สุดของ Initial access brokers ดังนั้นจึงเป็นไปได้ว่าปัจจุบันการโจมตี VMware Horizon เป็นพฤติกรมขั้นต้นของการโจมตีด้วย ransomware ที่มุ่งเป้าไปที่ช่องโหว่ Log4j ใน VMware Horizon Servers เวอร์ชันที่ยังไม่ได้รับการแก้ไข Sophos กล่าว

UK National Health Service (NHS) เป็นหนึ่งในบริษัทแรกๆ ที่เตือนเกี่ยวกับการโจมตีที่มุ่งเป้าไปยัง VMware Horizon Servers ที่มีช่องโหว่ Log4j (CVE-2021-44228)

(more…)