伊朗TunnelVision组织利用Log4j漏洞部署勒索软件

文章来源：安恒威胁情报中心

引言

2月17日，研究人员披露，一个与伊朗有关的 APT 组织正积极利用Log4j漏洞，在未打补丁的VMware Horizon服务器上部署勒索软件，目前已在中东和美国检测到入侵。由于该组织严重依赖隧道工具，因此研究人员将其命名为“TunnelVision”。TunnelVision组织的活动在一定程度上与Phosphorus组织存在重叠。

简况

TunnelVision活动的特点是广泛利用目标区域的1day漏洞。除了Log4Shell漏洞外，研究人员还观察到攻击者对Fortinet FortiOS路径遍历漏洞(CVE-2018-13379)和Microsoft Exchange ProxyShell漏洞的利用。该组织最常使用的隧道工具是Fast Reverse Proxy Client（FRPC）和 Plink。

目前，TunnelVision的目标为未打补丁的VMware Horizon服务器。攻击者积极利用Log4j漏洞来运行恶意 PowerShell 命令、部署后门、获取凭据并横向移动。通常，攻击者最初利用 Log4j 漏洞直接运行 PowerShell 命令，然后通过 Tomcat 进程执行的 PS 反向 shell 运行进一步的命令。

TunnelVision 将两个自定义反向 shell 后门放到受感染的机器上。第一个有效负载是一个 zip 文件，包含一个名为“InteropServices.exe”的可执行文件，其中存在一个模糊的反向 shell 信标，指向“microsoft-updateserver[.]cf”。攻击者在最近的攻击中主要使用第二个有效载荷，它似乎是公开可用的PowerShell one-liner 的修改版本。

TunnelVision 依靠第二个后门来执行以下操作：

执行侦察命令。

创建后门用户并将其添加到管理员组。

使用Procdump、SAM配置单元转储和 comsvcs MiniDump 收集凭据。

下载并执行隧道工具，包括 Plink 和 Ngrok，用于隧道 RDP 流量。

利用 VMware Horizon NodeJS 组件执行反向 shell。

使用公开可用的端口扫描脚本在内部子网执行 RDP 扫描。

归因

TunnelVision组织的活动此前曾被以各种名称进行跟踪，如 Phosphorus (Microsoft)，以及Charming Kitten 或 Nemesis Kitten (CrowdStrike)。虽然 TunnelVision 与其他伊朗黑客组织有一些相似之处和重叠，但研究人员认为，目前没有足够的证据表明TunnelVision组织与上述已知组织存在联系，因此研究人员将该活动归因于一个单独的集群。

版权申明：内容来源网络，版权归原创者所有。除非无法确认，我们都会标明作者及出处，如有侵权烦请告知，我们会立即删除并表示歉意。祝愿每一位读者生活愉快！谢谢!

推荐阅读

*黑客称入侵了白俄罗斯国营铁路系统网络 以阻止俄罗斯的军事集结

*浏览“不良网站”时，若手机出现卡顿等问题，小心个人信息泄露

*北京一科技公司利用爬虫技术窃取2.1亿条简历数据 被告人被判处有期徒刑7年