中国黑客利用Log4Shell攻击VMware Horizon服务器，部署Rootkit

据观察，一个被追踪为Deep Panda的中国高级持久性威胁利用VMware Horizon服务器中的Log4Shell漏洞，在受感染的机器上部署后门和新型rootkit，目的是窃取敏感数据。

Fortinet公司FortiGuard实验室的研究人员Rotem Sde Or和Eliran Voronovich在本周发布的一份报告中说：“目标的性质是机会主义的，因为几个国家和不同行业的多重感染发生在同一天。”。“受害者属于金融、学术、化妆品和旅游业。”

据Secureworks称，Deep Panda也被称为Shell Crew、KungFu Kittens和Brown Firestone，据说至少从2010年起就一直很活跃，最近的攻击“针对数据过滤的法律公司和指挥控制基础设施建设的技术提供商”。

网络安全公司CrowdStrike早在2014年7月就将熊猫主题的名称命名为威胁集群，称其为“中国最先进的民族国家网络入侵集团之一”

Fortinet记录的最新一组攻击表明，感染过程涉及利用易受攻击的VMware Horizon服务器中的Log4j远程代码执行漏洞（又名Log4Shell），从而产生一系列中间阶段，最终导致部署一个名为Milestone（“1.dll”）的后门。

Milestone基于臭名昭著的Gh0st RAT泄露的源代码，但在所采用的指挥与控制（C2）通信机制上存在显著差异，它还设计用于将系统上当前会话的信息发送到远程服务器。

在攻击期间还检测到一个名为“Fire Chili”的内核rootkit，它使用从游戏开发公司窃取的证书进行数字签名，使其能够逃避安全软件的检测，并隐藏恶意文件操作、进程、注册表项添加和网络连接。

这是通过ioctl（输入/输出控制）系统调用来实现的，以隐藏驱动程序rootkit的注册表项、里程碑后门文件以及用于启动植入的加载程序文件和进程。

Fortinet将其归为Deep Panda源于Milestone和Infoadmin RAT之间的重叠。Infoadmin RAT是一种远程访问特洛伊木马，在20世纪10年代早期被复杂的黑客集团使用，另外还有一些线索表明其战术与Winnti集团相似。

这是由使用游戏公司的受损数字签名支持的，这是Winnti选择的目标，也是一个C2域（gnisoft[。]截至2020年5月，该公司之前一直与中国国家赞助的演员联系在一起。

“目前尚不清楚这些工具与两个不同群体相关的原因，”研究人员说。“这两个组织的开发人员可能彼此共享资源，例如被盗的证书和C2基础设施。这可能解释了为什么这些样本在编译几小时后才被签署。”

这一披露增加了一长串黑客组织，他们已将Log4Shell漏洞武器化，以攻击VMware的虚拟化平台。

2021年12月，CuldWalk描述了一个不成功的战役，它被一个被称为水生熊猫的对手所利用，它利用漏洞来执行各种后开发操作，包括在目标系统上进行侦察和凭证获取。

从那时起，多个组织加入了这场斗争，其中包括伊朗TunnelVision集团。据观察，该集团积极利用Log4j日志库缺陷，用勒索软件破坏未修补的VMware Horizon服务器。

最近，网络安全公司Sophos强调了一系列针对易受攻击的Horizon服务器的攻击，这些攻击自1月份以来一直在进行，并由威胁参与者发起，以非法开采加密货币、安装基于PowerShell的反向炮弹，或部署Atera代理远程交付额外的有效载荷。

Sophos研究人员说：“由于Log4Shell漏洞的性质，对Horizon服务器的破坏是更具针对性的攻击之一。”他们还补充说，“Horizon等平台对所有类型的恶意参与者来说都是特别有吸引力的目标，因为它们分布广泛，并且可以（如果仍然易受攻击的话）很容易地用经过良好测试的工具发现和利用。”