Группировка TunnelVision эксплуатирует уязвимость для запуска PowerShell-команд, установки бэкдоров, хищения учетных данных и пр.

Хакерская группировка TunnelVision, предположительно связанная с правительством Ирана, эксплуатирует критическую уязвимость Log4Shell ( CVE-2021-44228 ) в библиотеке с открытым исходным кодом Apache Log4j для установки программ-вымогателей на серверы VMware Horizon.

«TunnelVision активно эксплуатирует уязвимость для запуска вредоносных PowerShell-команд, установки бэкдоров, создания бэкдор-пользователей, хищения учетных данных и перемещения по сети. Как правило, злоумышленники сначала используют уязвимость в Log4j для прямого запуска PowerShell-команд, а затем запускает дальнейшие команды с помощью обратных оболочек PS, выполняемых через процесс Tomcat», — пояснили эксперты из SentinelOne.

Хакеры также используют несколько легитимных сервисов для сокрытия своей деятельности, включая transfer.sh, pastebin.com, webhook.site, ufile.io, raw.githubusercontent.com.

По словам экспертов, действия TunnelVision отслеживаются другими ИБ-компаниями, но под разными именами, такими как Phosphorus (Microsoft), а также Charming Kitten и Nemesis Kitten (CrowdStrike). Путаница возникает из-за того, эксперты Microsoft приписывают активность одной группировке (Phosphorus), а специалисты CrowdStrike связывают данные преступные операции с двумя разными группировками: Charming Kitten и Nemesis Kitten.

SentinelOne отслеживает группировку отдельно под названием TunnelVision. Это не означает, что перечисленные группировки не связаны, просто в настоящее время у экспертов недостаточно данных для формирования более точных выводов.

Источник: securitylab