Geng ransomware Night Sky telah mulai mengeksploitasi kerentanan CVE-2021-44228 yang kritis di perpustakaan penebangan Log4j, juga dikenal sebagai Log4Shell, untuk mendapatkan akses ke sistem VMware Horizon.
Aktor ancaman menargetkan mesin rentan yang terpapar di web publik dari domain yang meniru perusahaan yang sah, beberapa di antaranya di sektor teknologi dan cybersecurity.
Serangan dimulai pada awal Januari
Terlihat pada akhir Desember 2021 oleh peneliti keamanan MalwareHunterTeam, ransomware Night Sky berfokus pada penguncian jaringan perusahaan. Ini telah mengenkripsi beberapa korban, meminta tebusan $ 800.000 dari salah satu dari mereka.
Pada hari Senin, Microsoft menerbitkan peringatan tentang kampanye baru dari aktor yang berbasis di China yang dilacaknya sebagai DEV-0401 untuk mengeksploitasi kerentanan Log4Shell pada sistem VMware Horizon yang terpapar di internet, dan menyebarkan ransomware Night Sky.
VMware Horizon digunakan untuk virtualisasi desktop dan aplikasi di cloud, memungkinkan pengguna untuk mengaksesnya dari jarak jauh melalui klien khusus atau browser web.
Ini juga merupakan solusi bagi administrator untuk manajemen yang lebih baik, kepatuhan keamanan, dan otomatisasi di seluruh armada sistem virtual.
VMware telah menambal produk Log4Shell in Horizon dan menyediakan solusi untuk pelanggan yang tidak dapat menginstal versi baru yang berisi perbaikan (2111, 7.13.1, 7.10.3). Namun, beberapa perusahaan belum menerapkan perbaikan.
Perusahaan menambahkan bahwa kelompok ini dikenal karena menyebarkan keluarga ransomware lainnya di masa lalu, seperti LockFile, AtomSilo, dan Rook.
Serangan sebelumnya dari aktor ini juga mengeksploitasi masalah keamanan dalam sistem yang menghadap internet seperti Confluence (CVE-2021-26084) dan server Exchange di tempat (CVE-2021-34473 – ProxyShell). Hal ini diyakini bahwa Night Sky adalah kelanjutan dari operasi ransomware tersebut.
Hubungan dengan rook ransomware telah ditetapkan. Setelah merekayasa balik malware, Jiří Vinopal – analis forensik di CERT Republik Ceko, menemukan bahwa Night Sky adalah garpu dari ransomware Rook.
Microsoft mencatat bahwa operator ransomware Night Sky mengandalkan server perintah dan kontrol yang meniru domain yang digunakan oleh perusahaan yang sah seperti perusahaan cybersecurity Sophos, Trend Micro, perusahaan teknologi Nvidia dan Rogers Corporation.
Vektor serangan yang menarik
Log4Shell adalah vektor serangan yang menarik bagi peretas negara-bangsa dan penjahat dunia maya karena komponen Log4J open-source hadir dalam berbagai sistem dari puluhan vendor.
Mengeksploitasi bug untuk mencapai eksekusi kode tanpa otentikasi membutuhkan upaya minimum. Aktor ancaman dapat memulai panggilan balik atau permintaan ke server berbahaya yang lewat hanya perlu mengunjungi situs atau mencarinya untuk string tertentu untuk menyebabkan panggilan balik server ke lokasi berbahaya.
Kelemahan keamanan dapat dimanfaatkan dari jarak jauh pada mesin rentan yang terpapar di internet publik atau dari jaringan lokal, oleh musuh lokal untuk bergerak secara lateral ke sistem internal yang sensitif.
Salah satu geng ransomware “top-tier” pertama yang mengintegrasikan Log4Shell dalam serangan mereka adalah Conti, yang menunjukkan minat di dalamnya sebagai jalan serangan potensial pada 12 Desember, hanya tiga hari setelah eksploitasi proof-of-concept (PoC) pertama menjadi publik.
Geng ransomware lain, pendatang baru bernama Khonsari, mulai memanfaatkan eksploitasi pada hari berikutnya PoC muncul di GitHub.
Pada hari-hari setelah pengungkapannya, beberapa aktor ancaman mulai memanfaatkan bug Log4j. Yang pertama mengambil keuntungan adalah penambang cryptocurrency, dengan peretas yang didukung negara dan geng ransomware mengikutinya.
Sumber: Bleepingcomputer
