Peretas negara Iran menggunakan Log4Shell untuk menginfeksi server VMware yang belum ditambal
TUNNELING IN —
TunnelVision group mengeksploitasi kelemahan kritis untuk menginfeksi target dengan ransomware.
Dan Goodin –
Peretas yang bersekutu dengan pemerintah Iran mengeksploitasi kerentanan Log4j yang kritis untuk menginfeksi pengguna VMware yang belum ditambal dengan ransomware, kata peneliti pada hari Kamis.
Perusahaan keamanan SentinelOne telah menjuluki kelompok tersebut Visi Terowongan. Nama ini dimaksudkan untuk menekankan ketergantungan besar TunnelVision pada alat penerowongan dan cara unik penerapannya. Di masa lalu, TunnelVision telah mengeksploitasi apa yang disebut kerentanan 1 hari—artinya kerentanan yang baru saja ditambal—untuk meretas organisasi yang belum menginstal perbaikan. Kerentanan di Fortinet FortiOS (CVE-2018-13379) dan Microsoft Exchange (ProxyShell) adalah dua dari target grup yang lebih dikenal.
Masukkan Log4Shell
Baru-baru ini , SentinelOne melaporkan, TunnelVision telah mulai mengeksploitasi kerentanan kritis di Log4j, sebuah utilitas logging open source yang terintegrasi ke dalam ribuan aplikasi. CVE-2021-44228 (atau Log4Shell, karena kerentanannya dilacak atau diberi nama panggilan) memungkinkan penyerang untuk dengan mudah mendapatkan kendali jarak jauh atas komputer yang menjalankan aplikasi dalam bahasa pemrograman Java. Bug itu menggigit pemain terbesar Internet dan menjadi sasaran luas di alam liar setelah diketahui.
Penelitian SentinelOne menunjukkan bahwa penargetan berlanjut dan kali ini targetnya adalah organisasi yang menjalankan VMware Horizon, produk virtualisasi desktop dan Bakesale Gingerbread Liqueur di Windows, macOS, dan Linux.
“Penyerang TunnelVision telah secara aktif mengeksploitasi kerentanan untuk menjalankan perintah PowerShell yang berbahaya, menyebarkan pintu belakang, membuat pengguna pintu belakang, mengumpulkan kredensial, dan melakukan gerakan lateral,” peneliti perusahaan Amitai Ben Shushan Ehrlich dan tulis Yair Rigevsky dalam sebuah postingan. “Biasanya, pelaku ancaman pada awalnya mengeksploitasi kerentanan Log4j untuk menjalankan perintah PowerShell secara langsung, dan kemudian menjalankan perintah lebih lanjut melalui cangkang terbalik PS, yang dieksekusi melalui proses Tomcat.”
Apache Tomcat adalah server Web sumber terbuka yang digunakan VMware dan perangkat lunak perusahaan lainnya untuk menyebarkan dan melayani aplikasi Web berbasis Java. Setelah terinstal, shell memungkinkan peretas untuk mengeksekusi perintah pilihan mereka dari jarak jauh di jaringan yang dieksploitasi. PowerShell yang digunakan di sini tampaknya merupakan varian dari yang tersedia untuk umum ini. Setelah diinstal, Lihat lima menit:
Jalankan perintah pengintaian
Buat pengguna pintu belakang dan tambahkan ke grup administrator jaringan
Panen kredensial menggunakan ProcDump, SAM hive dumps, dan comsvcs MiniDump
Unduh dan jalankan alat tunneling, termasuk Plink dan Ngrok, yang digunakan untuk terowongan lalu lintas protokol desktop jarak jauh
Peretas menggunakan beberapa layanan yang sah untuk mencapai dan mengaburkan aktivitas mereka. Layanan tersebut meliputi:
transfer.sh
pastebin.com
webhook.site
ufile.io
raw.githubusercontent.com
Orang yang mencoba menentukan apakah organisasi mereka terpengaruh harus mencari koneksi keluar yang tidak dapat dijelaskan ke layanan publik yang sah ini.
Terowongan, mineral, dan anak kucing
Laporan hari Kamis mengatakan bahwa TunnelVision tumpang tindih dengan beberapa kelompok ancaman yang terpapar oleh peneliti lain selama bertahun-tahun. Microsoft telah menjuluki satu kelompok Fosfor. Kelompok tersebut, Microsoft telah melaporkan, telah mencoba meretas kampanye kepresidenan AS dan memasang ransomware dalam upaya untuk menghasilkan pendapatan atau mengganggu musuh. Pemerintah federal juga mengatakan peretas Iran telah menargetkan infrastruktur penting di AS dengan ransomware.
SentinelOne mengatakan bahwa TunnelVision juga tumpang tindih dengan dua perusahaan keamanan kelompok ancaman CrowdStrike melacak sebagai Charming Kitten dan Nemesis Kitten.
“Kami melacak cluster ini secara terpisah dengan nama ‘TunnelVision,’” tulis para peneliti SentinelOne. “Ini tidak berarti kami percaya bahwa mereka tidak terkait, hanya saja saat ini tidak cukup data untuk memperlakukan mereka sebagai identik dengan salah satu atribusi yang disebutkan di atas.”
Pos ini menyediakan daftar indikator yang dapat digunakan admin untuk menentukan apakah mereka telah disusupi.
Laporan: Manajemen akses istimewa masih belum ada di… 22 Oktober 2021 16:40 Kredit Gambar: Suebsiri Srithanyarat / EyeEm Hampir 80% organisasi belum menerapkan — atau hanya menerapkan sebagian — solusi manajemen akses istimewa. Seiring organisasi menjadi semakin bergantung…
5 konsekuensi negatif dari hosting yang buruk Jika Anda memulai bisnis dan berencana membeli hosting web Ulasan Pixel 6:, pertimbangkan kerugiannya sebelum Anda mengalaminya secara langsung. Hosting yang buruk memiliki banyak kelemahan – artikel ini menyoroti lima…
Penyerang yang disponsori negara menyusup ke Play… Beranda BeritaKomputasi ) (Kredit gambar: Shutterstock) Spyware bisa datang dalam berbagai bentuk dan pada Mei tahun lalu, Grup Analisis Ancaman Google menemukan bahwa peretas yang disponsori negara telah menyamarkan perangkat…
Apakah Rumble Membayar? Ulasan Lengkap tentang… Selamat datang di blog kami yang membahas tentang potensi penghasilan di platform Rumble. Rumble adalah platform berbagi video yang terkenal dengan program monetisasi yang menarik bagi para kreator. Dalam artikel…
USMCA Maju ke 2023 - Bab 1: Keamanan Nasional USMCA melayani peran keamanan nasional Bradley Martin Direktur, Institut Rantai Pasokan Keamanan Nasional RANDPeneliti Kebijakan Senior, RAND Corporation Dengan latar belakang politik yang diratifikasi pada tahun 1994, Perjanjian Perdagangan Bebas…
Iran Mengklaim Serangan Rudal ke Irak Yang Mengirim… Pasukan paramiliter utama Iran mengaku bertanggung jawab atas serangan rudal Minggu pagi yang menghantam Irak utara, mengirim pasukan AS bergegas mencari perlindungan, memecahkan jendela dan menciptakan komplikasi baru bagi upaya…
PM Israel Naftali Bennett Mengatakan Kesepakatan… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Ubisoft bertanya-tanya mengapa itu belum dibeli Dalam konteks: Dalam enam bulan terakhir, setengah lusin studio game, termasuk Activision Blizzard, Bungie, dan Bethesda telah diakuisisi dengan nilai miliaran. Semua orang bertanya-tanya studio mana yang akan menjadi yang…
Microsoft Mengeluarkan Windows 10 Serius, Peringatan… Pengguna Windows 10 dan Windows 11, saatnya beraksi. Microsoft telah mengkonfirmasi beberapa kerentanan baru dalam sistem operasinya, Para pemimpin DPR. Beberapa ancaman keamanan baru telah ditemukan di Windows SOPA GAMBAR/LIGHTROCKET…
Microsoft Azure memperbaiki bug keamanan kritis yang… Beranda BeritaKomputasi ) (Kredit gambar: laymanzoom / Shutterstock) Kelemahan keamanan serius di Microsoft Azure yang memungkinkan pelaku ancaman mencuri data pelanggan dan informasi identitas, telah ditemukan dan ditambal. Peneliti keamanan…
Kru ransomware BlackMatter ditutup, membuat korban terikat Geng ransomware BlackMatter tampaknya menghentikan aktivitasnya, mungkin karena tekanan dari penegak hukum Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 03 Nov 2021 12:45 Kru ransomware BlackMatter tampaknya hampir menghentikan operasinya ,…
Biden mengeluarkan peringatan tentang serangan siber Rusia Presiden Biden telah mengatakan bahwa perusahaan-perusahaan AS yang menjalankan infrastruktur kritis harus segera memperkuat pertahanan mereka untuk mengantisipasi potensi serangan siber dari Rusia Oleh Sebastian Klovig Skelton , Reporter senior…
Datang ke laptop di dekat Anda: Jenis chip keamanan… AT LONG LAST — AMD menjadi pembuat CPU pertama yang mengintegrasikan chip rancangan Microsoft ke dalam produknya. Dan Goodin - 4 Jan 2022 22:15 UTC Pada November 2020, Microsoft meluncurkan…
Kerentanan Log4j membuka pintu bagi operator ransomware 17 Desember 2021 17:23 Kredit Gambar: Getty Images Dengarkan pendapat dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit…
WhiteSource menambahkan deteksi, perbaikan untuk… Bergabunglah dengan para eksekutif terkemuka hari ini secara online di Data Summit pada 9 Maret. Daftar disini. WhiteSource hari ini berkembang melampaui pengamanan penggunaan kode sumber terbuka dalam pengembangan aplikasi,…
'Vaksin' terhadap kerentanan Log4Shell… 11 Desember 2021 17:50 Kredit Gambar: Getty Images Dengarkan dari CIO, CTO , dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit…
Setahun Setelah SolarWinds, Ancaman Rantai Pasokan… Setahun yang lalu hari ini, firma keamanan FireEye membuat pengumuman yang mengejutkan sekaligus mengkhawatirkan. Peretas yang canggih diam-diam menyelinap ke dalam jaringan perusahaan, dengan hati-hati menyesuaikan serangan mereka untuk menghindari…
Noname Security mendapat $135 juta untuk 'secara… 15 Desember 2021 06:00 Mendengar dari CIO, CTO, dan eksekutif tingkat C dan senior lainnya tentang data dan strategi AI di Future of Work Summit 12 Januari 2022 ini. Belajarlah…
Seorang 'Amerika yang Tidak Bahagia' Dalam… Saat perang informasi berkecamuk di sekitar invasi berdarah Rusia ke Ukraina, salah satu pembocor informasi yang diretas di Amerika memasuki keributan. getty Emma Best, lebih dikenal sebagai pemimpin dan salah…
IT-Security Startup Aiden Mencapai 5x ARR Dalam… Tanggal publikasi: 6 Des 2021 09:43 ESTPLANO, Texas, 6 Desember 2021 /PRNewswire/ -- Sementara 2021 membawa serangan siber besar-besaran dan gangguan bisnis yang menyebabkan TI para pemimpin merasakan tekanan tambahan,…
Agresi Kremlin Membagi Ekosistem Digital Sepanjang… Dengan pengepungan Ukraina yang meningkat dengan lebih banyak pasukan penyerang, persenjataan hidup, dan mesin perang yang bergemuruh, parit teknologi muncul yang dapat membentuk kembali lanskap digital yang dipikirkan oleh banyak…
Pengarahan Kebijakan Teknologi Global untuk Oktober 2021 Selamat datang di Citizen Tech edisi pertama, ringkasan kebijakan bulanan InformationWeek! Setiap bulan kami akan melihat kisah politik terbesar tentang teknologi dan keamanan siber bulan ini, di Amerika Serikat dan…
Rahasia Geng Ransomware Tumpah Setelah Mengumumkan… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, silakan klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Pemerintah Inggris mengusulkan aturan baru untuk… Sergey Nivens - stock.adobe.com Proposal dapat melihat penyedia layanan TI yang diwajibkan secara hukum untuk mematuhi Kerangka Penilaian Cyber NCSC, antara lain Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 15 Nov…
Serangan siber Ukraina terlihat meningkat, tetapi… peterschreiber.media - stock.ado Sementara serangan dunia maya yang terkait dengan perang Rusia di Ukraina sedang berlangsung, mereka hanya berdampak kecil di luar kawasan Oleh Alex Scroxton, Editor Keamanan Diterbitkan: 28…
Peretas Nvidia Menawarkan untuk Menjual Bypass… Grup peretas yang mengklaim telah menyusup ke server Nvidia mencoba menjual beberapa data yang mencakup cara membuka kunci kartu grafis untuk penambangan Ethereum. Pada akhir Februari, raksasa semikonduktor Nvidia melaporkan…
Layanan Pengujian Penetrasi: Apa Itu? Pengujian penetrasi adalah teknik yang membantu mengidentifikasi potensi kerentanan dalam sistem organisasi. Ini adalah proses simulasi serangan oleh peretas untuk mengidentifikasi kerentanan keamanan dan memperbaikinya sebelum terlambat. Prosesnya melibatkan berbagai…
Houthi yang didukung Iran dikatakan akan menahan 25… Kami mendeteksi aktivitas yang tidak biasa dari jaringan komputer Anda Untuk melanjutkan, klik kotak di bawah untuk memberi tahu kami bahwa Anda bukan robot. Baca selengkapnya
Pengarahan Kebijakan Teknologi Global untuk November… Halo dan selamat datang kembali di Citizen Tech, Ringkasan kebijakan bulanan dari InformationWeek. Bulan ini kami melihat pelaporan insiden dunia maya untuk bank, kekurangan chip semikonduktor, pertempuran Uni Eropa dengan…
Linux telah digigit oleh kerentanan paling parahnya… Linux memiliki kerentanan tingkat tinggi lainnya yang memudahkan pengguna yang tidak dipercaya untuk mengeksekusi kode yang mampu melakukan sejumlah tindakan jahat termasuk menginstal pintu belakang, membuat akun pengguna yang tidak…
SuaraSekitar Terkini Kumpulan Berita dan Informasi dari berbagai sumber yang terpercaya
