BlackBerry: Cybercriminelen vallen VMware Horizon-servers aan via Log4j

Een groep cybercriminelen maakt actief misbruik van een Log4j-kwetsbaarheid in ongepatchte VMware Horizon-servers. Het gaat om zogeheten Initial Access Broker (IAB) groep Prophet Spider, die inbreekt bij bedrijven en toegang tot systemen van deze bedrijven verhandelt.

Hiervoor waarschuwt BlackBerry in een rapport. De aanvallers richten zich specifiek op VMware Horizon-servers die niet up-to-date zijn. VMware publiceerde namelijk in december al een patch waarmee beheerders een Log4j-kwetsbaarheid in VMware Horizon kunnen dichtten. Deze patch is echter niet door iedere beheerder daadwerkelijk geïnstalleerd. Sommige VMware Horizon-servers zijn hierdoor ondanks de beschikbaarheid van de patch nog steeds kwetsbaar.

Cryptomining malware en Cobalt Strike

Aanvallers zouden onder meer op getroffen systemen cryptomining malware proberen te installeren. Daarnaast wordt ook de pentest-software Cobalt Strike door aanvallers misbruikt. BlackBerry meldt dat de methodes die de aanvallers hanteren overeenkomen met bekende werkwijzen van de IAB-groep Prophet Spider.

BlackBerry verwacht dat in de toekomst meer cybercriminelen de Log4j-kwetsbaarheid proberen uit te buiten. Het feit dat veel gebruikers en IT-teams hun systemen nog niet geüpdatet hebben, speelt de aanvallers hierbij in de kaart. BlackBerry belooft de situatie te blijven monitoren en advies te zullen geven om aanvallers buiten de deur te houden.

Meer (technische) informatie is beschikbaar op het blog van BlackBerry.