Iranische Hacker nutzen Log4j-Lücke aus

Vor kurzem haben Security-Analysten von SentinelLabs Hacker beobachtet, die mit der iranischen Regierung in Verbindung gebracht werden. Dabei stellten die Forscher fest, dass die sogenannte TunnelVision-Gruppe die kritische Java-Sicherheitslücke Log4Shell nutzt, um ungepatchte VMware-Horizon-Anwendungen mit Schadsoftware zu infizieren. Der Name der Gruppe rühre daher, dass die Mitglieder sich stark auf Tunneling-Tools verlassen, schreiben die SentinelLabs-Analysten Amitai Ben Shushan Ehrlich und Yair Rigevsky in ihrem Blogbeitrag.

"TunnelVision hat die Schwachstelle aktiv ausgenutzt, um bösartige PowerShell-Befehle auszuführen, Backdoors bereitzustellen, Backdoor-Benutzer zu erstellen, Anmeldeinformationen zu sammeln und sich lateral durch das Netzwerk zu bewegen", erklären die Sicherheitsforscher. Dabei würden die Angreifer typischerweise zunächst die Log4j-Lücke ausnutzen, um PowerShell-Befehle direkt auszuführen. Daraufhin erfolgten weitere Befehle über PS-Reverse-Shells, die über den Tomcat-Prozess ausgeführt werden.

Angreifer setzen Ransomware ein

Ähnlich wie andere iranische Bedrohungsakteure seien die Angriffe der TunnelVision-Gruppe mit dem Einsatz von Ransomware verbunden. Trotz der Ähnlichkeiten zu anderen Hackergruppen ordnen die Forscher die aktuellen Attacken einem anderen Cluster zu.

"TunnelVision-Aktivitäten wurden zuvor diskutiert und werden von anderen Anbietern unter verschiedenen Namen wie Phosphorus (Microsoft) und verwirrenderweise entweder Charming Kitten oder Nemesis Kitten (CrowdStrike) verfolgt", so die SentinelLabs-Experten. "Diese Verwirrung entsteht dadurch, dass sich Aktivitäten, die Microsoft einer Gruppe ("Phosphorous") zuordnet, mit Aktionen überschneiden, die CrowdStrike als zwei verschiedenen Akteuren zuschreibt: Charming Kitten und Nemesis Kitten."

Es könne zwar nicht ausgeschlossen werden, dass diese Gruppen miteinander in Beziehung stehen, dafür gebe es derzeit aber keine hinreichenden Beweise, so die Sicherheitsexperten.