Cơ quan an ninh mạng Hoa Kỳ CISA, cùng với Bộ Tư lệnh Không gian mạng của Cảnh sát biển (CGCYBER), đã đưa ra cảnh báo về hành động tiếp tục khai thác lỗ hổng Log4Shell trong máy chủ VMware Horizon của các tác nhân đe dọa.

Các cơ quan cho biết: “Kể từ tháng 12 năm 2021, nhiều nhóm tác nhân đe dọa đã khai thác Log4Shell trên các máy chủ VMware Horizon chưa được vá lỗi. một phần của hoạt động khai thác, các nhóm APT bị nghi ngờ đã phát tán phần mềm độc hại lên các hệ thống bị xâm nhập nhúng các file thực thi cho phép kết nối đến C&C server.”

Trong một số trường hợp, khi khai thác thành công, hacker có thể leo thang đặc quyền trong mạng nội bộ để đánh cắp các thông tin nhạy cảm.

Log4Shell, được theo dõi là CVE-2021-44228 (điểm CVSS: 10.0), là một lỗ hổng thực thi mã từ xa ảnh hưởng đến thư viện ghi nhật ký Apache Log4j được nhiều người tiêu dùng và các dịch vụ doanh nghiệp, trang web, ứng dụng và các sản phẩm khác sử dụng.

Dựa trên thông tin thu thập được trong quá trình ứng phó sự cố, các cơ quan cho biết những kẻ tấn công đã lợi dụng quá trình khai thác này để phát tán các payload độc hại như tập lệnh PowerShell và một công cụ truy cập từ xa mang tên  “hmsvc.exe” được trang bị khả năng keylogger và triển khai các mã độc. Mã độc đóng vai trò như một tunnel proxy kết nối máy tính nạn nhân với máy chủ CC.

Nghiên cứu cho thấy, tin tặc cũng tận dụng CVE-2022-22954, một lỗ hổng thực thi mã từ xa trong VMware Workspace ONE Access and Identity Manager được phát hiện vào tháng 4 năm 2022, để triển khai web shell Dingo J-spy.

Hoạt động liên quan đến Log4Shell vẫn đang diễn ra hơn sáu tháng vừa qua cho thấy lỗ hổng này được những kẻ tấn công rất quan tâm, kể cả những nhóm APT do chính phủ tài trợ và những kẻ tranh thủ cơ hội nhắm mục tiêu vào các máy chủ để có được danh tiếng trong giới tin tặc.

Theo công ty an ninh mạng ExtraHop, các lỗ hổng Log4j đang bị khai thác không ngừng nghỉ đặc biệt là trong khi lĩnh vực tài chính và chăm sóc sức khỏe.

 “Log4j tồn tại sâu trong các lớp mã của bên thứ ba, vì vậy chúng ta rồii sẽ thấy các dịch vụ của  công ty sử dụng nhiều mã nguồn mở bị khai thác Log4j.”

Theo https://thehackernews.com