微軟發布了一條警告,稱其追踪為 DEV-0401 的中國駭客組織發起了一項新活動,開採Log4j軟體中的重大漏洞CVE-2021-44228來部署Night Sky新型勒索軟體。微軟分析師的報告稱,這種新型勒索軟體專門攻擊面向互聯網的虛擬化服務平台VMware Horizon。根據報告,調查結果指向對 VMWare Horizon的攻擊,VMware Horizon是一個允許遠端用戶存取虛擬電腦和伺服器的應用程式,是一款多雲桌面與應用程式虛擬化平台,微軟的報告指出,早在 1 月 4 日,攻擊者就開始在運作 VMware Horizon 面向互聯網的系統中利用 CVE-2021-44228 漏洞,並在成功的入侵中部署Night Sky 勒索軟體。目前,除微軟在其 Windows 系統中使用 Horizon外,macOS 和 Linux系統也有使用VMware Horizon 平台。
據了解,在過去的攻擊中, DEV-0401駭客組織不僅曾部署過其他勒索軟體包括 LockFile、AtomSilo和Rook,DEV-0401也曾利用了面向 Internet 的系統中的安全漏洞,例如 Confluence ( CVE-2021-26084 ) 和Microsoft Exchange 伺服器 (CVE-2021-34473 – ProxyShell ),據信,Night Sky是上述勒索軟體操作的延續。
另外,根據Microsoft的說法,操作Night Sky勒索軟體的中國駭客,使用C2伺服器來冒充合法公司(如網路安全公司Trend Micro,Sophos)和IT公司(如Nvidia和Rogers Corporation)使用的網域。
微軟的調查結果為英國衛生服務部(NHS)上週發布的一份報告添加了更多細節,該報告稱,攻擊者的目標是鎖定尚未修補的遠端工作平台VMware Horizon而來的,該報告指出,攻擊者安裝了一個惡意 Java 檔案,該檔案將 Web shell 注入VM Blast Secure Gateway服務當中,但當時沒有表明是否部署了勒索軟體。
Night Sky勒索軟體於 2021年12 月27日開始運作,已經分別入侵了孟加拉和日本兩個企業的網路,並在Tor 網路上建立了一個揭秘網站,在那裡將發布不付贖金的受害者的被盜數據。