سمح خادم VMware Horizon غير المصحح لمجموعة APT التي ترعاها الحكومة الإيرانية باستخدام ثغرة Log4Shell ليس فقط لخرق أنظمة الفرع التنفيذي المدني الفيدرالي الأمريكي (FCEB) ، ولكن أيضًا لنشر برامج تشفير XMRing الخبيثة للحصول على مقياس جيد.
FCEB هو ذراع الحكومة الفيدرالية الذي يشمل المكتب التنفيذي للرئيس ، وأمناء مجلس الوزراء ، وإدارات السلطة التنفيذية الأخرى.
قال تحديث جديد من وكالة الأمن السيبراني وأمن البنية التحتية (CISA) إنه إلى جانب مكتب التحقيقات الفيدرالي ، حددت الوكالات جماعة تهديد مدعومة من إيران كان قادرًا على الانتقال أفقياً إلى وحدة تحكم المجال ، وسرقة بيانات الاعتماد ، ونشر وكلاء Ngrok العكسي للحفاظ على الثبات في أنظمة FCEB. وقالت CISA إن الهجوم وقع من منتصف يونيو حتى منتصف يوليو.
"تشجع CISA و FBI جميع المؤسسات التي لديها أنظمة VMware المتأثرة التي لم تطبق على الفور التصحيحات أو الحلول البديلة المتاحة لتحمل التسوية وبدء أنشطة البحث عن التهديدات ،" تنبيه الاختراق شرح. "إذا تم اكتشاف الوصول الأولي أو الاختراق المشتبه به استنادًا إلى IOCs أو TTPs الموصوفة في CSA ، فإن CISA و FBI يشجعان المنظمات على تحمل الحركة الجانبية من قبل الجهات الفاعلة في التهديد ، والتحقيق في الأنظمة المتصلة (بما في ذلك DC) ، وتدقيق الحسابات ذات الامتياز."
