یک سرور VMware Horizon اصلاح نشده به یک گروه APT تحت حمایت دولت ایران اجازه می دهد تا از آسیب پذیری Log4Shell نه تنها برای نقض سیستم های شعبه اجرایی غیرنظامی فدرال ایالات متحده (FCEB) استفاده کند، بلکه بدافزار cryptominer XMRing را نیز برای اقدامات خوب مستقر کند.
FCEB بازوی دولت فدرال است که شامل دفتر اجرایی رئیس جمهور، دبیران کابینه و سایر بخش های شاخه اجرایی است.
بهروزرسانی جدید آژانس امنیت سایبری و امنیت زیرساخت (CISA) اعلام کرد که به همراه FBI، آژانسها گروه تهدید مورد حمایت ایران توانست به سمت کنترل کننده دامنه حرکت کند، اعتبارنامه ها را بدزدد و پراکسی های معکوس Ngrok را برای حفظ پایداری در سیستم های FCEB مستقر کند. سیسا گفت که این حمله از اواسط ژوئن تا اواسط ژوئیه رخ داده است.
CISA و FBI همه سازمانهای دارای سیستمهای VMware آسیبدیده را تشویق میکنند که فوراً وصلههای موجود یا راهحلهای راهحل را اعمال نکردهاند تا به خطر بیفتند و فعالیتهای شکار تهدید را آغاز کنند. هشدار نقض توضیح داد. اگر مشکوک به دسترسی اولیه یا مصالحه بر اساس IOC یا TTPهای شرح داده شده در این CSA شناسایی شود، CISA و FBI سازمانها را تشویق میکنند که حرکت جانبی توسط عوامل تهدید، بررسی سیستمهای متصل (از جمله DC) و حسابرسی حسابهای ممتاز را تشویق کنند.
