Een groep cybercriminelen misbruikt Log4j-kwetsbaarheden om VMware Horizon servers aan te vallen. SentinelOne noemt de groep ‘TunnelVision’. Volgens SentinelOne heeft de groep banden met de Iraanse regering.

SentinelOne toont aan dat TunnelVision kwetsbaarheden misbruikt in FortiOS, Microsoft Exchange en Log4j. Volgens SentinelOne is de groep actief in het Midden-Oosten en de VS. De naam (TunnelVision) is afgeleid van de methode waarmee de cybercriminelen slachtoffers maken: tunneling.

De groep staat bekend om het misbruik van 1 day vulnerabilities. Dergelijke kwetsbaarheden zijn reeds door een vendor gepatcht, maar nog niet door iedere gebruiker doorgevoerd.

Tot voorkort richtte TunnelVision zich voornamelijk op Fortinet FortiOS (CVE-2018-13379) en Microsoft Exchange (ProxyShell). Onlangs raakte de groep verouderde VMware Horizon servers.

SentinelOne beschreef de incidenten in een blogpost. “TunnelVision-aanvallers maakten actief misbruik van een Log4j-kwetsbaarheid in VMware Horizon, red.) om kwaadaardige PowerShell commands uit te voeren, backdoors uit te rollen en gegevens te stelen.”

Meerdere namen, vergelijkbare criminelen

SentinelOne benadrukt dat TunnelVision op de radar van meerdere securityonderzoekers staat. De namen van de groep verschillen. Microsoft noemt het collectief ‘Phosphorus’; Crowdstrike koos voor ‘Charming Kitten’.

“We noemen de cybercriminelen ‘TunnelVision’. Dit betekent niet dat we van mening zijn dat het een andere groep is de groepen die Microsoft en CrowdStrike volgen”, verklaart de organisatie. “Wél vinden we dat er momenteel onvoldoende bewijs is om de groep met een identieke naam te beschrijven.’

De status bij VMware

In december 2021 patchte VMware de Log4j-kwetsbaarheid die door TunnelVision wordt misbruikt. VMware handelde direct nadat de kwetsbaarheid werd bekendgemaakt. Niet alle gebruikers van VMware Horizon passen de patch toe. Meerdere securityonderzoekers waarschuwden in de afgelopen maanden voor actief misbruik van verouderde VMware Horizon servers.

VMware liet aan Techzine weten dat de organisatie gebruikers probeert te begeleiden bij het patchproces. “We hebben onze klanten en partners wereldwijd geïnformeerd over de laatste ontwikkelingen en de impact van de kwetsbaarheden. Daarbij delen we mogelijke oplossingen, in de vorm van patches en of workarounds”, verklaarde Boudewijn Aelbers, Director Presales Benelux van VMware.