Un grup de hackeri iranieni sponsorizat de stat, fără nume, a reușit să compromită punctele finale aparținând unei organizații americane, Federal Civil Executive Branch (FCEB), și și-a folosit accesul pentru a implementa un miner de criptomonede.
Agenția de Infrastructură și Securitate Cibernetică (CISA) a publicat concluziile la începutul acestei săptămâni. Conform raportului său, CISA a fost solicitată, la mijlocul lunii iunie, să investigheze suspiciunile de activitate de amenințare persistentă avansată (APT).
În urma unei investigații de o lună care s-a încheiat în iulie 2022, agenția a concluzionat că un actor de amenințare (hackeri iranieni) sponsorizat de statul Iranian a reușit să compromită un server VMware Horizon nepatcher, valorificând vulnerabilitatea infama log4j, Log4Shell.
Grupul a folosit accesul pentru a instala XMRig, un cunoscut miner de criptomonede care folosește puterea de calcul a dispozitivului pentru a genera Monero, o criptomonedă care are prioritate în confidențialitate, care este aproape imposibil de urmărit și identificat.
Actorii s-au mutat și lateral la controlerul de domeniu (DC), au compromis acreditările, iar apoi au implantat proxy-uri inverse Ngrok, pe mai multe gazde, pentru a menține persistența în rețea.
După publicarea acestor constatări, CISA, împreună cu FBI, au îndemnat toate organizațiile cu sisteme VMware similare să aplice imediat patch-urile disponibile sau să încarce soluții de soluționare cunoscute.
Tuturor organizațiilor cu sisteme VMware afectate li sa spus să „asume compromiteri” și să inițieze activități de vânătoare de amenințări.
„Dacă este detectat un acces inițial suspect sau o compromitere pe baza IOC-urilor sau a TTP-urilor descrise în acest CSA, CISA și FBI încurajează organizațiile să își asume mișcarea laterală a actorilor amenințărilor, să investigheze sistemele conectate (inclusiv DC) și să auditeze conturile privilegiate”, se arată în anunț. .
„Toate organizațiile, indiferent de dovezile identificate de compromitere, ar trebui să aplice recomandările din secțiunea de atenuare a acestui CSA pentru a se proteja împotriva activităților cibernetice similare rău intenționate.”
Log4Shell, care a fost descoperit pentru prima dată la sfârșitul anului trecut, a fost descrisă de directorul CISA, Jen Easterly, drept „una dintre cele mai grave, dacă nu cea mai serioasă” vulnerabilitate pe care a văzut-o vreodată.