С декабря 2021, когда была обнаружена уязвимость удалённого выполнения кода Log4Shell (CVE-2021-44228) в инфраструктуре с VMware Horizon Systems и серверах Unified Access Gateway (UAG), прошло уже довольно много времени, и вроде патч есть и огласка была, но тем не менее, уязвимость остается популярной и широко эксплуатируется злоумышленниками. Об этом вновь сообщают разные службы и исследователи в сфере ИБ. Напомню, что при эксплуатации уязвимости вектор атаки направлен на Public-Facing Application [T1190] — один из наиболее популярных векторов атаки, наряду с Phishing’ом [T1566] и External Remote Services [T1133].

Профит от эксплуатации уязвимости разный (подробнее по технике здесь и здесь):
внедрение загрузчика вредоносного ПО;
открытие бэкдора;
и др.

Ссылки на копии индикаторов компрометации (IOCs):
• MAR-10382580-1
• MAR-10382254-1

С апреля по май 2022 в организации1 CISA обнаружили двусторонний трафик в связке с уже известным вредоносным IP адресом 104.223.34[.]198. В ходе расследования выяснилось, что организация1 была скомпрометирована сразу несколькими злоумышленниками предположительно с 30 января по май 2022. После проникновения злоумышленники использовали скрипты на PowerShell для связи с сервером по протоколу HTTP, кроме того, злоумышленники предприняли попытку загрузки вредоносного исполняемого файла и его запуска с сервера 104.155.149[.]103 который являлся частью С2 инфраструктуры. После получения доступа, злоумышленники производили горизонтальное перемещение по инфраструктуре используя RDP, таким образом добрались до сервера сертификации, сервера управления безопасностью, сервера с базой данных (в которой содержались критичные данные) и почтового сервера. Также злоумышленники получили доступ к сети аварийного восстановления инфраструктуры. Злоумышленники завладели данными аккаунтов с повышенными привилегиями (администраторов), как не известно, после чего произвели загрузку вредоносного ПО и запустили исполняемый файл с правами администратора. Тем самым получив возможность загружать дополнительные вредоносны, мониторить рабочий стол, reverse shell, exfiltrate data и данный исполняемый файл мог также выполнять роль прокси сервера. CISA обнаружили следующие загрузчики вредоносного ПО:
SvcEdge.exe — вредоносное загруженное ПО для Windows, содержащий зашифрованный исполняемый f7_dump_64.exe (расшифровавывался после исполнения SvcEdge.exe и загружался в память), который производил соединение с С2 сервером 134.119.177[.]107.
odbccads.exe, praiser.exe, fontdrvhosts.exe и winds.exe — зашифрованные вредоносные загруженные исполняемые файлы, после исполнения предпринимали попытку связи с С2 сервером 134.119.177[.]107, 162.245.190[.]203, 155.94.211[.]207 и 185.136.163[.]104.
error_401.jsp — webshell, разработанный для парсинга данных и передачи команд через http запросы, предоставляя тем самым удаленное управление через уже скомпрометированные сервера Linux & Windows, загрузку и выгрузку вредоносных файлов. Все данные зашифровывались через RC4.
newdev.dll — вредоносная библиотека, которая запускалась как служба в профиле пользователя. Путь, где располагалась библиотека %user%\AppData\Roaming\newdev.dll. К сожалению CISA не удалось восстановить файл, для подробного анализа. В общей сложности злоумышленникам удалось похитить более 130ГБ правительственных данных.

Организация2 также была скомпрометирована через эксплуатацию уязвимости Log4Shell в VMware Horizon. После получения доступа злоумышленники выгрузили файл hmsvc.exe на скомпрометированную систему. Который пытался установить соединение с сервером 104.223.34[.]198.

CISA и CGCYBER анализировали исполняемый файл, который маскировался под легитимную службу Microsoft Windows (Sysinternals LogingSessions software) [T1036.004]. Файл был запущен с наивысшими правами NT AUTHORITY\SYSTEM. hmsvc.exe загружал дополнительные вредоносный 658_dump_64.exe, который предоставлял злоумышленникам целый ряд возможностей, включая запись нажатых клавиш [T1056.001], загрузку дополнительных исполняемых файлов и графический интерфейс для мониторинга деятельности жертв.

Технически это выглядело так: вначале исполнялся hmsvc.exe, который создавал задачу в Sheduler: C:\Windwos\System32\Tasks\Local Session Updater, — благодаря данной задаче производился запуск вредонсного ПО каждый час. После чего создавались два файла с расширением *.tmp и рандомным именем в директории %user%\AppData\Local\Temp\ и производили попытку связи с С2 сервером 192.95.20[.]8 используя нестандартный порт 4443, весь трафик был зашифрован 128-битным ключом. Более подробная информация здесь MAR-10382254-1.