Conti ransomware groep valt VMware vCenter aan met Log4j lek
Nadat de Log4j2-kwetsbaarheid openbaar werd gemaakt ontdekte de Amerikaanse security specialist AdvIntel dat ransomware aanvaller Conti hiervan gebruikt maakt. "Conti speelt een bijzondere rol in het hedendaagse bedreigingslandschap, vooral vanwege zijn schaal. Verdeeld over verschillende teams en met tienden van fulltime leden, verdiende de Russisch sprekende Conti in de afgelopen zes maanden meer dan 150 miljoen dollar , volgens onderzoek van AdvIntel naar de ransomware-logboeken", aldus AdvIntel.
AdvIntel meldt verder: "En ze blijven uitbreiden. Het is deze uitbreiding die Conti op een lange zoektocht naar nieuwe aanvalsoppervlakken en -methoden heeft gezet. Sinds augustus hebben ze veel nieuwe middelen ingezet: verborgen RMM-achterdeuren, nieuwe oplossingen voor het verwijderen van back-ups en, meest recentelijk, zelfs een hele operatie om Emotet nieuw leven in te blazen.
Bovendien had Conti al een geschiedenis van het benutten van exploits als een eerste aanvalsvector en voor zijwaartse beweging. De groep maakt bijvoorbeeld gebruik van Fortinet VPN-kwetsbaarheid CVE-2018-13379 om ongepatchte apparaten aan te vallen voor de eerste aanvalsvector.
Conti geeft de voorkeur aan het verhogen van PrintNightmare-privileges CVE-2021-34527/CVE-2021-1675, Zerologon (CVE-2020-1472) en ms17-010 voor lokale privilegeverhoging en laterale beweging op de gecompromitteerde hosts.
Als zodanig verschijnt Log4j2-kwetsbaarheid op een moment voor Conti: op het moment dat het syndicaat zowel de strategische intentie als de mogelijkheid heeft om het te gebruiken voor zijn ransomware-doelen, aldus AdvIntel.
Kwetsbare Log4J2 VMware vCenter
Op 12 december ontdekte AdvIntel door diepgaand inzicht in verzamelingen van tegenstanders dat meerdere leden van de Conti-groep interesse toonden in de exploitatie van de kwetsbaarheid voor de initiële aanvalsvector, wat resulteerde in de scanactiviteit die gebruikmaakte van de openbaar beschikbare Log4J2-exploit. Dit is de eerste keer dat deze kwetsbaarheid op de radar komt van een grote ransomware-groep.
De huidige exploitatie leidde tot meerdere use-cases waarmee de Conti-groep de mogelijkheden van het gebruik van de Log4J2-exploit testte. Het belangrijkste is dat AdvIntel bevestigde dat de criminelen zich richtten op specifieke kwetsbare Log4J2 VMware vCenter voor zijwaartse beweging rechtstreeks vanuit het gecompromitteerde netwerk, wat resulteerde in vCenter-toegang die Amerikaanse en Europese slachtoffernetwerken beïnvloedde vanaf de reeds bestaande Cobalt Strike-sessies.
Vroegtijdige waarschuwing: misbruik door ransomware van kernkwetsbaarheid
Het is slechts een kwestie van tijd voordat Conti en mogelijk andere groepen Log4j2 volledig gaan exploiteren. Het wordt aanbevolen om het kwetsbare systeem onmiddellijk te patchen en de Log4j2 te zien als een ransomware-groepsexploitatievector.
AdvIntel biedt klanten directe toegang tot targeting-datasets met betrekking tot CVE-2021-44228 Log4Shell-exploitatie uit de Conti-ransomwarelijst. De Log4Shell-dataset informeert alleen mogelijk gerichte apparaten van kwetsbaarheidsscanner-apparaten. Gerichte zoekopdrachten zijn beschikbaar met behulp van TLD & IP-bereik in Log4Shell Exposure Collections."
