VMware 的 Horizo​​n 虚拟化平台已成为攻击者利用备受瞩目的 Log4j 漏洞安装后门和加密恶意软件的持续目标。

在本周的一份报告中，网络安全公司 Sophos 写道，自 12 月下旬以来，VMware 的虚拟桌面和应用程序平台一直处于十字路口，最大的攻击浪潮从 1 月 19 日开始，一直持续到 3 月。Sophos 研究人员 Gabor Szappanos 和 Sean Gallagher 写道，许多攻击旨在部署加密货币挖掘恶意软件。

其他动机不太清楚，尽管勒索软件团体或初始访问经纪人可能会使用其中一些动机，他们获得目标系统的访问权限，然后将该访问权限出售给威胁参与者以发起勒索软件和其他恶意软件攻击。

VMware 在 12 月下旬发布了Horizo​​n 的更新版本，并在本月继续为 Horizo​​n 提供针对 Log4j 漏洞的补丁（称为 Log4Shell 并跟踪为CVE-2021-44228），但威胁仍在继续。

研究人员写道：“由于其性质，攻击 Horizo​​n 服务器的尝试是更有针对性的 Log4Shell 漏洞利用之一。” “截至 2022 年 3 月 8 日，VMware 已经推出了 Horizo​​n 的修补版本，但许多组织可能仍未部署修复版本或对易受攻击的版本应用变通办法。即使他们有，正如我们发现的后门和反向 shell 活动所证明的那样，这些系统可能已经以其他方式受到损害。”

Log4j 严重缺陷于去年年底爆发，网络犯罪分子迅速介入以利用该漏洞。

Log4Shell 的威胁是巨大的——它在无数的服务器、基于云的服务和开源项目（如 ElasticSearch 和 Elastic Logstash）中具有广泛的企业用途。

开源日志记录工具无处不在，以至于组织很难追踪其 IT 环境中的每个实例。Log4Shell 也是一个易于利用的漏洞，黑客只需要一串恶意代码即可进入系统。

对 Horizo​​n 的攻击还发生在 COVID-19 大流行之后，对这种远程工作工具的需求持续增长，这迫使大多数员工在家工作，并迎来了一个预期的更多混合工作时代。

Szappanos 和 Gallagher 写道：“组织应该彻底研究他们对潜在 Log4J 漏洞的暴露程度，因为它们可能会影响在某些情况下可能没有定期安全支持的商业、开源和定制软件。” “但是像 Horizo​​n 这样的平台对于所有类型的恶意行为者来说都是特别有吸引力的目标，因为它们分布广泛，并且可以（如果仍然容易受到攻击）很容易被经过良好测试的工具发现和利用。”

据 Sophos 称，1 月份开始的对 VMware Horizo​​n 的攻击使用 Log4j 中的轻量级目录访问协议资源调用来获取修改合法 Java 代码的恶意 Java 类文件。这增加了一个 web shell，为攻击者提供远程访问和代码执行功能。

2021 年 12 月下旬和今年 1 月利用 Log4j 漏洞进行的初始攻击使用了Cobalt Strike恶意软件。其他黑客没有使用反向 shell 软件，而是直接针对 Horizo​​n 内部的 Tomcat 服务器。

Sophos 表示，它发现了多种有效载荷部署到目标 Horizo​​n 服务器。许多是加密矿工，包括 z0Miner、JavaX 矿工和至少两个 XMRig 变体，称为“Jin”和“Mimu”矿工机器人。

“还有几个后门——包括 Sliver 植入程序、Atera 代理和 Splashtop Streamer（都是被滥用的合法软件产品），以及几个基于 PowerShell 的反向 shell，”研究人员写道。

“虽然 z0Miner、JavaX 和其他一些有效载荷是由用于初始攻击的 Web shell 直接下载的，但 Jin 机器人与 Sliver 的使用相关，并且使用与 Mimo 相同的钱包——这表明这三种恶意软件是由同一个攻击者使用的。”

还部署了许多使用 Log4j 缺陷的后门，包括一些 PowerShell 反向 shell。使用反向炮弹的不良行为者的动机尚不清楚。一位 Sophos 客户同时受到了反向 shell 和 Mimu 矿工的攻击，但研究人员表示，这可能是由最初由初始访问代理植入的不同黑客多次感染所致。

其他案例显示更多现成的后门被用于在目标服务器中创建持久存在。其中包括 Sliver 植入物，研究人员将其描述为一种攻击性安全工具，旨在供渗透测试人员和组织的红队通过镜像网络犯罪分子使用的策略进行培训。相反，威胁参与者在攻击中使用该软件。

Bugcrowd 的创始人兼首席技术官 Casey Ellis 告诉The Register，在 Log4Shell 公开后，加密矿工是第一批利用 Log4Shell 的恶意行为者之一。

“这是一种相对简单且风险较低的攻击，最适合攻击面中存在大量易受攻击的端点，”Ellis 说。“网络犯罪分子本身就是企业，将加密货币挖矿作为一种犯罪货币化技术与易受攻击的软件包和无处不在的 Log4j 相结合是非常合理的。

“对组织而言，主要后果是挖矿活动导致 CPU 资源短缺，而对于那些使用云的人来说，使用费用出乎意料地高。”

此外，由于此类攻击易于实施，因此使用加密货币挖矿的威胁参与者包括个人、勒索软件即服务团伙、初始访问经纪人和使用加密货币挖矿作为融资工具的民族国家