وجد باحثون الأمن أدلة جديدة على أن مجموعة أخرى ترعاها الدولة تدعم أنها تستغل مشكلة عدم حصانة LOG4J.
وقال تقرير إن ممثل تهديد فدية يزعم أنه يرتبط إيران باستغلال منصة سطح المكتب الافتراضية الافتراضية لشركة VMware أفق الأفق وتقديم “استغلال واسع النطاق” لمكثير ضعف يوم واحد في الولايات المتحدة والشرق الأوسط.
يشبه هذا الطاقم المعين، الذي يطلق عليه Tunnelvision من قبل باحثاء الأمن الحارسين بسبب “الاعتماد الشديد” على أدوات النفق، بأعلى العصابات الإيرانية الإيرانية المزعومة في ذلك، وهي في المقام الأول عملية فدية.
تحقيقا لهذه النقطة، تم ربط جهات الفاعلة بالتهديد باستغلال Fortinet Fortios (CVE-2018-13379)، Microsoft Exchange (Proxyshell) وأحدث Log4shell.
وقال الباحثون إن المهاجمين استغلوا ضعف LOG4J في خدمة Tomcat لبرنامج VMWare Horizon لتشغيل أوامر PowerShell الضارة أو نشر Backdoors وإنشاء مستخدمي Backdoor وأوراق اعتماد حصاد وإجراء حركة جانبية.
توفر هجمات Tunnelfision المزعومة تذكيرا هاما إلى MSSPS و MSPS: استخدام ماسحات الضوئية وأدوات الماسح الضوئي الضعف لتحديد نقاط الضعف LOG4J داخليا وعلاوة للعملاء.
جنبا إلى جنب مع الصين وكوريا الشمالية وروسيا، تعتبر إيران من بين أربع أخطر دولة الدولة في جميع أنحاء العالم في جميع أنحاء العالم. ينصح مقدمو خدمات الأمن المدارة بشكل جيد برئاسة Tunnelvision بأنه يحتمل أن يشكل تهديدا خطيرا إذا كان فقط من أجل قدراته الفدية. سيكون تحديث بقع للعملاء بالترتيب.
كتب باحثو الحنطيون في بيل شوشان اهرليخ و Yaiy Rigevsky في منشور مدونات: “في كل هذه الحالات تقريبا، قام ممثل التهديد بنشر أداة نفق ملفوفة بطريقة فريدة من نوعها”. وقال المؤلفون إن أدوات الأنفاق الأكثر شيوعا التي تستخدمها المجموعة هي عميل وكيل عكس سريع (FRPC) وضواء.
تتبع مايكروسوفت أنشطة Tunnelvision باعتبارها الفسفور مجموعة القرصنة، والتي كانت في الانتخابات الرئاسية 2020 تم ربطها بالهجمات المستمرة على الحسابات الشخصية للأشخاص المرتبطين بحملة ترامب.
في حين أن الفسفور معروف حملات التجسس التي تستهدف مجموعة واسعة من المنظمات المرتبطة بمصالح جيوسياسية أو اقتصادية أو إنسانية في الشرق الأوسط، فليس من الواضح ما إذا كان Tunnelvision يوجه هجماته بأهداف مماثلة.
كما تم تتبع الطاقم من قبل crowdstrike كما هريرة ساحرة، وهو ممثل تهديد مستمر متطور يراقب أيضا من قبل المدفوع، أو الخشب هريرة.
ومع ذلك، فإن SentInellabs، ومع ذلك، فإن مجموعة النشاط من النشاط فقط إلى Tunnelvision، وليس لأنه يعتقد أن المشغلين “لا علاقة لهم بالضرورة” بالفوسفور أو هريرة الساحرة، ولكن لأنه في هذه المرحلة ليس من الواضح أنهم متطابقون لهؤلاء المهاجمين.