TunnelVision 组利用关键的 Log4j 漏洞用勒索软件感染目标。

研究人员周四表示，与伊朗政府结盟的黑客正在利用关键的 Log4j 漏洞，用勒索软件感染未修补的 VMware 用户。

安全公司 SentinelOne 将这个组织称为 TunnelVision。该名称旨在强调 TunnelVision 对隧道工具的高度依赖及其部署它们的独特方式。过去，TunnelVision 曾利用所谓的 1-day 漏洞（即最近修补的漏洞）来攻击尚未安装修复程序的组织。Fortinet FortiOS (CVE-2018-13379) 和 Microsoft Exchange (ProxyShell) 中的漏洞是该组织最知名的两个目标。

输入 Log4Shell

最近，SentinelOne 报道称，TunnelVision 已开始利用 Log4j 中的一个严重漏洞，Log4j 是一种集成到数千个应用程序中的开源日志记录实用程序。CVE-2021-44228（或 Log4Shell，因为该漏洞被跟踪或昵称）允许攻击者轻松远程控制以 Java 编程语言运行应用程序的计算机。该虫子咬住了互联网最大的玩家，并在广为人知后成为 了广泛的目标。

SentinelOne 研究表明，目标仍在继续，这次目标是运行 VMware Horizo​​n 的组织，这是一种在 Windows、macOS 和 Linux 上运行的桌面和应用程序虚拟化产品。

“TunnelVision 攻击者一直在积极利用该漏洞来运行恶意 PowerShell 命令、部署后门、创建后门用户、获取凭据并执行横向移动，”公司研究人员 Amitai Ben Shushan Ehrlich 和 Yair Rigevsky在一篇文章中写道。“通常，攻击者最初利用 Log4j 漏洞直接运行 PowerShell 命令，然后通过 PS 反向 shell 运行进一步的命令，通过 Tomcat 进程执行。”

Apache Tomcat 是一种开源 Web 服务器，VMware 和其他企业软件使用它来部署和提供基于 Java 的 Web 应用程序。安装后，shell 允许黑客在被利用的网络上远程执行他们选择的命令。这里使用的 PowerShell 似乎是这个公开可用的 PowerShell 的变体。安装后，TunnelVision 成员将使用它来：

• 执行侦察命令
• 创建后门用户并将其添加到网络管理员组
• 使用 ProcDump、SAM 配置单元转储和 comsvc​​s MiniDump 收集凭据
• 下载并运行隧道工具，包括用于隧道远程桌面协议流量的 Plink 和 Ngrok

黑客使用多种合法服务来实现和掩盖他们的活动。这些服务包括：

• transfer.sh
• pastebin.com
• webhook.site
• ufile.io
• raw.githubusercontent.com

试图确定他们的组织是否受到影响的人应该寻找与这些合法公共服务的无法解释的传出连接。

隧道、矿物和小猫

周四的报告称，TunnelVision 与多年来其他研究人员暴露的几个威胁组重叠。微软将一组称为 Phosphorous。据微软报道，该组织曾试图入侵美国总统竞选活动并安装勒索软件，以期创收或破坏对手。联邦政府还表示，伊朗黑客一直在用勒索软件攻击美国的关键基础设施。

SentinelOne 表示，TunnelVision 还与两个威胁组织安全公司 CrowdStrike 重叠，分别是 Charming Kitten 和 Nemesis Kitten。

“我们以‘TunnelVision’的名义单独跟踪这个集群，”SentinelOne 研究人员写道。“这并不意味着我们认为它们必然无关，只是目前没有足够的数据将它们视为与上述任何归因相同。”

该帖子提供了一个指标列表，管理员可以使用这些指标来确定它们是否已被入侵。