En ikke-patchet VMware Horizon-server tillod en iransk regeringssponseret APT-gruppe at bruge Log4Shell-sårbarheden til ikke kun at bryde US Federal Civilian Executive Branch (FCEB) systemer, men også implementere XMRing cryptominer malware for en god foranstaltning.
FCEB er grenen af den føderale regering, der omfatter eksekutivkontoret for præsidenten, kabinetssekretærer og andre udøvende afdelingsafdelinger.
En ny opdatering fra Cybersecurity and Infrastructure Security Agency (CISA) sagde, at agenturerne sammen med FBI bestemte Iransk støttet trusselsgruppe var i stand til at flytte sideværts til domænecontrolleren, stjæle legitimationsoplysninger og implementere Ngrok omvendte proxyer for at opretholde persistens i FCEB-systemerne. Angrebet fandt sted fra midten af juni til midten af juli, sagde CISA.
"CISA og FBI opfordrer alle organisationer med berørte VMware-systemer, som ikke umiddelbart anvendte tilgængelige patches eller løsninger, til at påtage sig kompromis og igangsætte trusselsjagtaktiviteter," siger CISA. brudsalarm forklaret. "Hvis formodet indledende adgang eller kompromittering opdages baseret på IOC'er eller TTP'er beskrevet i denne CSA, opfordrer CISA og FBI organisationer til at påtage sig sideværts bevægelse af trusselsaktører, undersøge forbundne systemer (inklusive DC) og revidere privilegerede konti."
