Ein nicht gepatchter VMware Horizon-Server ermöglichte es einer von der iranischen Regierung gesponserten APT-Gruppe, die Log4Shell-Schwachstelle zu nutzen, um nicht nur die Systeme der US-amerikanischen Federal Civilian Executive Branch (FCEB) zu verletzen, sondern auch XMRing-Kryptominer-Malware als zusätzliche Maßnahme einzusetzen.
FCEB ist der Arm der Bundesregierung, der das Exekutivbüro des Präsidenten, Kabinettssekretäre und andere Abteilungen der Exekutive umfasst.
Ein neues Update der Cybersecurity and Infrastructure Security Agency (CISA) besagt, dass die Agenturen zusammen mit dem FBI die Vom Iran unterstützte Bedrohungsgruppe konnte seitlich zum Domänencontroller wechseln, Anmeldeinformationen stehlen und Ngrok-Reverse-Proxys bereitstellen, um die Persistenz in den FCEB-Systemen aufrechtzuerhalten. Der Angriff ereignete sich von Mitte Juni bis Mitte Juli, sagte CISA.
„CISA und FBI ermutigen alle Organisationen mit betroffenen VMware-Systemen, die verfügbare Patches oder Workarounds nicht sofort angewendet haben, Kompromisse anzunehmen und Aktivitäten zur Bedrohungssuche einzuleiten“, so CISA Verletzungsalarm erklärt. „Wenn der Verdacht auf anfänglichen Zugriff oder Kompromittierung auf der Grundlage von IOCs oder TTPs, die in dieser CSA beschrieben sind, entdeckt wird, ermutigen CISA und FBI Organisationen dazu, eine seitliche Bewegung von Bedrohungsakteuren anzunehmen, verbundene Systeme (einschließlich des DC) zu untersuchen und privilegierte Konten zu prüfen.“
