이란과 관련된 TunnelVision APT 그룹, Log4j 취약점 활발히 악용해

Iran-linked TunnelVision APT is actively exploiting the Log4j vulnerability

 

SentinelOne의 연구원들이 이란과 관련된 APT 그룹인 TunnelVision이 Log4j 취약점을 활발히 악용해 패치되지 않은 VMware Horizon 서버에 랜섬웨어를 배포하고 있음을 목격했다고 밝혔습니다.

 

TunnelVision의 TTP는 이란과 관련된 정부 지원 해커인 Phosphorus, Charming Kitten, Nemesis Kitten 관련 TTP와 유사한 점이 많습니다. TunnelVision 그룹은 그들의 캠페인에서 원데이(1-day) 취약점을 주로 활용합니다.

 

SentinelOne의 전문가가 그룹의 활동을 모니터링하는 동안, 정부의 후원을 받는 이 해커는 Fortinet FortiOS(CVE-2018-13379), Microsoft Exchange(ProxyShell)의 취약점, 최근 발생한 Log4Shell 취약점 등 여러 취약점을 악용했습니다. 거의 모든 공격 사례에서 공격자는 고유한 방식으로 래핑된 FRPC(Fast Reverse Proxy Client) 및 Plink와 같은 터널링 툴을 배포했습니다.

 

SentinelOne 측은 분석을 게시해 아래와 같이 밝혔습니다.

 

"TunnelVision 공격자는 악성 PowerShell 명령을 실행하고, 백도어를 배포하고, 백도어 사용자를 생성하고, 크리덴셜을 수집하고, 측면 이동을 수행하기 위해 취약점을 활발히 악용하고 있습니다."

 

"일반적으로, 공격자는 처음에 Log4j 취약점을 악용하여 PowerShell 명령을 직접 실행한 다음 Tomcat 프로세스를 통해 실행되는 PS 리버스 셸을 통해 추가 명령을 실행합니다."

 

공격자는 VMware Horizon의 Log4Shell 이슈를 악용해 PowerShell 명령을 실행하고 webhook을 통해 출력을 다시 전송합니다.

 

공격자는 PowerShell 명령을 통해 Ngrok과 같은 툴을 다운로드하고, 리버스 셸을 설정하기 위한 추가 명령을 실행하고, 크리덴셜 수집 및 측면 이동을 수행하는 데 필요한 PowerShell 백도어를 드롭했습니다.

 

연구원은 드롭된 실행 파일에 이란과 관련된 APT 그룹인 APT35 (‘Charming Kitten‘, ‘Phosphorus‘, Newscaster, Ajax Security Team으로도 불림)가 최근 공격에 사용한 것과 유사한 리버스 셸의 난독화된 버전이 포함되어 있음을 발견했습니다.

 

또한 전문가들은 공격자들이 해당 APT 그룹이 소유한 "protections20"이라는 계정과 연결된 github 저장소인 "VmWareHorizon"을 활용했다고 밝혔습니다.

 

연구원들은 아래와 같이 결론지었습니다.

 

“우리는 "TunnelVision"이라는 이름으로 이 클러스터를 별도로 추적합니다. 이들이 관련이 없다고 믿었기 때문이 아닙니다. 단지 현재로서는 이들을 연결 짓기에 데이터가 충분하지 않기 때문입니다.”

 

 

 

 

출처:

https://securityaffairs.co/wordpress/128159/apt/tunnelvision-exploits-log4j-vulnerability.html

https://www.sentinelone.com/labs/log4j2-in-the-wild-iranian-aligned-threat-actor-tunnelvision-actively-exploiting-vmware-horizon/ (IOC)