إن “ممثل مدمر محتمل” محاذاة مع حكومة إيران يستغل بنشاط ضعف LOG4J المشهور لإصابة خوادم Horizon VMWare غير المشهورة.
شركة Cybersecurity شركة Sentinelone أطلقت عليها المجموعة “Tunnelvision” بسبب اعتمادها الشديد لأدوات الأنفاق، مع التداخل في التكتيكات الملاحظة على مجموعة أوسع تتبع تحت الفوسفور المكرر بالإضافة إلى هريرة وركيلة.
“أنشطة Tunnelvision تتميز بالاستغلال الواسع لمكثير نقاط الضعف لمدة يوم واحد في المناطق المستهدفة”.
لاحظ أيضا جنبا إلى جنب مع Log4shell هو استغلال عيوب Fortinet Fortios Fortios Traversal (CVE-2018-13379) وبرنامج Microsoft Exchange Proxyshell Proxyshell لكسب الوصول الأولي إلى الشبكات المستهدفة لاستغلال ما بعد الاستغلال.
وقال الباحثون “مهاجمون TunnelVision كانوا يستغلون ضعف الضعف لتشغيل أوامر Powershell الضارة أو نشر Backdoors وإنشاء مستخدمي Backdoor ووثائق اعتماد الحصاد وإجراء حركة جانبية”.
يتم استخدام أوامر PowerShell ك LaunchPad لتنزيل أدوات مثل NGROK وتشغيل أوامر أخرى عن طريق القذائف العكسي التي تستخدم لإسقاط PowerShell Backdoor غير قادر على جمع أوراق الاعتماد وتنفيذ أوامر الاستطلاع.
كما قالت Sentinelone إنها حددت أوجه التشابه في الآلية المستخدمة لتنفيذ قذيفة الويب العكسية مع زرع آخر يستند إلى PowerShell يسمى عاجزا تم الكشف عنها من قبل باحثين Cybero Confernease في وقت سابق من هذا الشهر.
كل ذلك من خلال النشاط، يقال إن ممثل التهديد استخدم مستودع جيثب يعرف باسم “VMWareHorizon” تحت اسم المستخدم “protection20” لاستضافة الحمولات الضارة.
وقالت شركة الأمن السيبراني إنها تربط الهجمات على مجموعة إيرانية منفصلة لا لأنها لا تكتبها، ولكن بسبب حقيقة أن “هناك بيانات غير كافية للغاية لعلاجها على أنها متطابقة لأي من السمات المذكورة أعلاه”.