关键词

Log4j漏洞、勒索软件

引言

2月17日，研究人员披露，一个与伊朗有关的APT组织正积极利用Log4j漏洞，在未打补丁的VMwareHorizon服务器上部署勒索软件，目前已在中东和美国检测到入侵。由于该组织严重依赖隧道工具，因此研究人员将其命名为“TunnelVision”。TunnelVision组织的活动在一定程度上与Phosphorus组织存在重叠。

简况

TunnelVision活动的特点是广泛利用目标区域的1day漏洞。除了Log4Shell漏洞外，研究人员还观察到攻击者对FortinetFortiOS路径遍历漏洞(CVE--)和MicrosoftExchangeProxyShell漏洞的利用。该组织最常使用的隧道工具是FastReverseProxyClient（FRPC）和Plink。

目前，TunnelVision的目标为未打补丁的VMwareHorizon服务器。攻击者积极利用Log4j漏洞来运行恶意PowerShell命令、部署后门、获取凭据并横向移动。通常，攻击者最初利用Log4j漏洞直接运行PowerShell命令，然后通过Tomcat进程执行的PS反向shell运行进一步的命令。

TunnelVision将两个自定义反向shell后门放到受感染的机器上。第一个有效负载是一个zip文件，包含一个名为“InteropServices.exe”的可执行文件，其中存在一个模糊的反向shell信标，指向“microsoft-updateserver[.]cf”。攻击者在最近的攻击中主要使用第二个有效载荷，它似乎是公开可用的PowerShellone-liner的修改版本。

TunnelVision依靠第二个后门来执行以下操作：

执行侦察命令。

创建后门用户并将其添加到管理员组。

使用Procdump、SAM配置单元转储和