Το FBI και η CISA αποκάλυψαν σε κοινή συμβουλευτική που δημοσιεύθηκε σήμερα ότι μια ανώνυμη ομάδα απειλών που υποστηρίζεται από το Ιράν παραβίασε έναν οργανισμό Federal Civilian Executive Branch (FCEB) για να αναπτύξει κακόβουλο λογισμικό κρυπτογράφησης XMRig.
Οι εισβολείς έθεσαν σε κίνδυνο το ομοσπονδιακό δίκτυο αφού εισέβαλαν σε έναν μη επιδιορθωμένο διακομιστή VMware Horizon χρησιμοποιώντας ένα exploit που στοχεύει την Log4Shell (CVE-2021-44228).
Μετά την ανάπτυξη του εξορύκτη κρυπτονομισμάτων, οι ιρανοί παράγοντες απειλών δημιούργησαν επίσης αντίστροφους μεσολάβησης σε διακομιστές που έχουν παραβιαστεί για να διατηρήσουν την επιμονή εντός του δικτύου της υπηρεσίας FCEB.
«Κατά τη διάρκεια των δραστηριοτήτων αντιμετώπισης περιστατικών, η CISA διαπίστωσε ότι οι φορείς απειλών στον κυβερνοχώρο εκμεταλλεύτηκαν την ευπάθεια Log4Shell σε έναν μη επιδιορθωμένο διακομιστή VMware Horizon, εγκατέστησαν λογισμικό εξόρυξης κρυπτογράφησης XMRig, μετακινήθηκαν πλευρικά στον ελεγκτή τομέα (DC), παραβίασαν τα διαπιστευτήρια και στη συνέχεια εμφύτευσαν το Ngrok αντίστροφα πληρεξούσιοι σε πολλούς οικοδεσπότες για να διατηρήσουν την επιμονή», αναφέρει.
Οι δύο ομοσπονδιακές υπηρεσίες των ΗΠΑ πρόσθεσαν ότι όλοι οι οργανισμοί που δεν έχουν επιδιορθώσει ακόμη τα συστήματα VMware τους έναντι του Log4Shell θα πρέπει να υποθέσουν ότι έχουν ήδη παραβιαστεί και να τους συμβουλεύσουν να ξεκινήσουν το κυνήγι για κακόβουλη δραστηριότητα στα δίκτυά τους.
CISA προειδοποίησε τον Ιούνιο ότι οι διακομιστές VMware Horizon και Unified Access Gateway (UAG) εξακολουθούν να υπόκεινται σε πολλαπλούς παράγοντες απειλών, συμπεριλαμβανομένων των κρατικών ομάδων hacking, χρησιμοποιώντας εκμεταλλεύσεις Log4Shell.
Το Log4Shell μπορεί να αξιοποιηθεί εξ αποστάσεως για τη στόχευση ευάλωτων διακομιστών που εκτίθενται σε τοπική πρόσβαση ή πρόσβαση στο Διαδίκτυο για να μετακινηθούν πλευρικά σε δίκτυα που έχουν παραβιαστεί για πρόσβαση σε εσωτερικά συστήματα που αποθηκεύουν ευαίσθητα δεδομένα.