Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Hacker tích cực khai thác lỗ hổng Log4j trên VMware Horizon
Microsoft cảnh báo về kẻ đứng sau ransomware có trụ sở tại Trung Quốc đang tích cực khai thác lỗ hổng Log4j trong VMware Horizon, nền tảng ảo hóa ứng dụng và máy tính để bàn.
“Dựa trên phân tích của chúng tôi, những kẻ tấn công đang sử dụng các máy chủ C&C để giả mạo các domain hợp pháp”, gã khổng lồ phần mềm cho biết trong bản cập nhật Log4Shell ngày 10/1.
Cuộc tấn công bắt đầu khoảng 4/1, cho phép triển khai mã độc tống tiền NightSky.
NightSky lợi dụng mô hình ‘tống tiền kép’ đang thịnh hành và đã được các nhà nghiên cứu mã độc từ MalwareHunterTeam xác định vào ngày 1/1.
Microsoft cho biết nhóm hacker được gọi là ‘DEV-0401’ trước đây cũng đã triển khai mã độc tống tiền LockFile, AtomSilo và Rook, cũng như khai thác CVE-2021-26084 trong Atlassian Confluence và CVE-2021-34473 trong Exchange Server.
Cảnh báo của NHS
Cảnh báo của Microsoft đưa ra sau khi Dịch vụ Y tế Quốc gia của Vương quốc Anh (NHS) cảnh báo tương tự về nhóm hacker chưa xác định đang cố gắng xâm nhập thông qua các cuộc tấn công nhắm vào VMware Horizon chạy các phiên bản bị ảnh hưởng bởi Log4j.
Trong cảnh báo mạng phát đi ngày 5/1, NHS cho biết cuộc tấn công “sử dụng LDAP để truy xuất và thực thi một tệp lớp Java độc hại, từ đó chèn web shell vào dịch vụ VM Blast Secure Gateway”, nhằm triển khai ransomware hoặc lọc dữ liệu.
Trong cảnh báo an ninh cập nhật lần cuối ngày 23/12, VMWare cho biết thành phần HTML Access của Horizon dễ bị khai thác Log4Shell, đồng thời cung cấp các bước khắc phục và giảm thiểu.
Phạm vi tấn công rộng lớn
Lỗ hổng Log4Shell, cho đến nay đã có bốn bản vá trong Log4j, cho phép hacker khởi chạy các cuộc tấn công thực thi mã từ xa (RCE) nhắm vào các hệ thống.
Cuộc tấn công ảnh hưởng rộng đến nỗi nền tảng tiền thưởng lỗ hổng HackerOne đã nhận được gần 1.700 báo cáo về lỗ hổng Log4j cho hơn 400 chương trình chưa đầy hai tuần sau khi lỗi được tiết lộ công khai.
Microsoft trước đây đã ghi nhận các cuộc tấn công ransomware vào máy chủ Minecraft thông qua Log4Shell, cho biết: “Chúng tôi phát hiện nhiều kẻ tấn công đang khai thác các lỗ hổng này với các kiểu chiến thuật và công cụ mã độc. Nhiều tổ chức có thể không nhận ra môi trường của mình có thể đã bị xâm phạm”.
Microsoft khuyến nghị khách hàng rà soát các thiết bị sử dụng phiên bản bị ảnh hưởng. Do nhiều phần mềm và dịch vụ bị ảnh hưởng và do tốc độ cập nhật, điều này dự kiến sẽ cần một thời gian để khắc phục, đòi hỏi sự cảnh giác liên tục và bền vững.
“Dựa trên phân tích của chúng tôi, những kẻ tấn công đang sử dụng các máy chủ C&C để giả mạo các domain hợp pháp”, gã khổng lồ phần mềm cho biết trong bản cập nhật Log4Shell ngày 10/1.
Cuộc tấn công bắt đầu khoảng 4/1, cho phép triển khai mã độc tống tiền NightSky.
NightSky lợi dụng mô hình ‘tống tiền kép’ đang thịnh hành và đã được các nhà nghiên cứu mã độc từ MalwareHunterTeam xác định vào ngày 1/1.
Microsoft cho biết nhóm hacker được gọi là ‘DEV-0401’ trước đây cũng đã triển khai mã độc tống tiền LockFile, AtomSilo và Rook, cũng như khai thác CVE-2021-26084 trong Atlassian Confluence và CVE-2021-34473 trong Exchange Server.
Cảnh báo của NHS
Cảnh báo của Microsoft đưa ra sau khi Dịch vụ Y tế Quốc gia của Vương quốc Anh (NHS) cảnh báo tương tự về nhóm hacker chưa xác định đang cố gắng xâm nhập thông qua các cuộc tấn công nhắm vào VMware Horizon chạy các phiên bản bị ảnh hưởng bởi Log4j.
Trong cảnh báo mạng phát đi ngày 5/1, NHS cho biết cuộc tấn công “sử dụng LDAP để truy xuất và thực thi một tệp lớp Java độc hại, từ đó chèn web shell vào dịch vụ VM Blast Secure Gateway”, nhằm triển khai ransomware hoặc lọc dữ liệu.
Trong cảnh báo an ninh cập nhật lần cuối ngày 23/12, VMWare cho biết thành phần HTML Access của Horizon dễ bị khai thác Log4Shell, đồng thời cung cấp các bước khắc phục và giảm thiểu.
Phạm vi tấn công rộng lớn
Lỗ hổng Log4Shell, cho đến nay đã có bốn bản vá trong Log4j, cho phép hacker khởi chạy các cuộc tấn công thực thi mã từ xa (RCE) nhắm vào các hệ thống.
Cuộc tấn công ảnh hưởng rộng đến nỗi nền tảng tiền thưởng lỗ hổng HackerOne đã nhận được gần 1.700 báo cáo về lỗ hổng Log4j cho hơn 400 chương trình chưa đầy hai tuần sau khi lỗi được tiết lộ công khai.
Microsoft trước đây đã ghi nhận các cuộc tấn công ransomware vào máy chủ Minecraft thông qua Log4Shell, cho biết: “Chúng tôi phát hiện nhiều kẻ tấn công đang khai thác các lỗ hổng này với các kiểu chiến thuật và công cụ mã độc. Nhiều tổ chức có thể không nhận ra môi trường của mình có thể đã bị xâm phạm”.
Microsoft khuyến nghị khách hàng rà soát các thiết bị sử dụng phiên bản bị ảnh hưởng. Do nhiều phần mềm và dịch vụ bị ảnh hưởng và do tốc độ cập nhật, điều này dự kiến sẽ cần một thời gian để khắc phục, đòi hỏi sự cảnh giác liên tục và bền vững.
Theo Portswigger