iran cyber security

הקבוצה האיראנית TunnelVision מנצלת את חולשת Vmware Horizons

חברת סנטינל וואן עוקבת בחודשים האחרונים אחר פעילות של קבוצה איראנית שפועלת במזרח התיכון ובארצות הברית. חלקים משמעותיים מהמאמצים של הקבוצה מרוכזים בישראל.

השם הניתן לקבוצה, TunnelVision, נובע מהשימוש הייחודי שלה בכלי תיעול תעבורה. כמו שחקנים איראניים אחרים הפעילים בזירה, גם פעילות TunnelVision נקשרה לשימוש בכופרות, מה שהופך אותה לקבוצה בעלת פוטנציאל הרסני.

פעילויותיה של הקבוצה מאופיינות בהשמשת חולשות 1day למול מגוון רחב של יעדים במדינות למולן פועלת. בזמן בו אנחנו עוקבים אחרי הפעילות, זוהו סריקות רחבות של חולשות למוצרי Fortinet, שרתי מיקרוסופט אקסציינג׳, ולאחרונה חולשות מבוססות Log4J.

כמעט כל המקרים התוקפים השתמשו בחולשה כדי להטיל כלי תיעול תעבורה עטוף בצורה יחודית.
שני הכלים הנפוצים ביותר בשימוש הקבוצה הם plink ו-fast reverse proxy client (FRPC).
הפעילות של הקבוצה חופפת ברמה מסוימת לפעילות שמיקרוסופט מכנה Phosphorus, אשר קושרה בעבר למשמרות המהפכה באיראן.

ניצול חולשות VMWare Horizon

לאחרונה נחשף כי המוצר VMWare Horizon מושפע גם הוא מחולשה ברכיב תיעוד הלוגים Log4J, וזו מאפשרת הרצת קוד מרוחק על מכונות פגיעות, וכאשר החולשה מנוצלת נוצרים תהליכים חשודים מרכיב ה-tomcat במוצר.
באירועים שזוהו, ניצלו התוקפים את החולשה על מנת להריץ פקודות PowerShell זדוניות, להטיל נוזקות, לייצר משתמשים לשימוש מאוחר יותר, לגנוב פרטי הזדהות ולהתפשט הלאה ברשתות הנתקפים.

מרבית הפעילות התבצעה דרך שני כלים מבוססים PowerShell אשר הורצו דרך החולשה.
אחד הכלים הוא כלי ייעודי אשר זוהה בשימוש הקבוצה בעבר כחלק מקמפיין שפעל למול ישראל.

דרך אותם כלים התוקפים ביצעו מספר פעולות, ביניהן:

  • הרצת פקודות לאיסוף מידע על הרשת (Recon)
  • יצירת משתמש והוספתו לקבוצה בעלת הרשאות גבוהות (Administrator)
  • גניבת פרטי הזדהות בעזרת Procdump, הורדת ה-SAM Hive ושימוש ב-comsvcs MiniDump.
  • הורדה והרצת כלי תיעול תעבורה, בניהם Plink ו-Ngrok, בהם השתמשו על מנת לתעל תעבורת RDP.
  • הרצת Reverse Shell מבוסס רכיב ה-NodeJS בפלטפורמת VMWare Horizon.
  • סריקת טווחים פנימיים ברשת בעזרת סקריפטים זמינים פומבית.

לחצו כאן לקריאת המאמר המלא באתר סנטינל וואן.

מאמר זה נכתב על ידי אמיתי בן שושן ארליך,
חוקר מודיעין סייבר בחברת סנטינל וואן.

דילוג לתוכן