Paigaldamata VMware Horizon server võimaldas Iraani valitsuse toetatud APT grupil kasutada Log4Shelli haavatavust, et mitte ainult rikkuda USA föderaalse tsiviiltäitevorgani (FCEB) süsteeme, vaid juurutada ka XMRingi krüptomineri pahavara.
FCEB on föderaalvalitsuse haru, mis hõlmab presidendi täitevametit, kabinetisekretäre ja muid täitevvõimu osakondi.
Küberjulgeoleku ja infrastruktuuri turvaagentuuri (CISA) uus värskendus ütles, et koos FBI-ga tegid agentuurid kindlaks Iraani toetatud ohurühmitus suutis liikuda külgsuunas domeenikontrolleri juurde, varastada mandaate ja juurutada Ngroki pöördpuhverserverid, et säilitada FCEB-süsteemides püsivust. Rünnak toimus juuni keskpaigast juuli keskpaigani, teatas CISA.
"CISA ja FBI julgustavad kõiki organisatsioone, kellel on mõjutatud VMware süsteemid, mis ei rakendanud kohe saadaolevaid plaastreid või lahendusi, tegema kompromisse ja algatama ohujahti," ütles CISA. rikkumise märguanne selgitas. "Kui selles CSA-s kirjeldatud IOC-de või TTP-de põhjal tuvastatakse kahtlustatav esmane juurdepääs või kompromiss, julgustavad CISA ja FBI organisatsioone võtma ohus osalejate külgsuunalisi liikumisi, uurima ühendatud süsteeme (sealhulgas DC-d) ja auditeerima privilegeeritud kontosid."
