Egy kijavítatlan VMware Horizon szerver lehetővé tette az iráni kormány által támogatott APT csoport számára, hogy a Log4Shell sebezhetőségét felhasználva ne csak az Egyesült Államok Szövetségi Polgári Végrehajtó Szervezete (FCEB) rendszereit sértse meg, hanem XMRing kriptominer rosszindulatú programot is telepítsen.
Az FCEB a szövetségi kormány ága, amely magában foglalja az elnöki hivatalt, a kabinettitkárokat és más végrehajtó ágakat.
A Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) új frissítése szerint az ügynökségek az FBI-val együtt meghatározták a Irán által támogatott fenyegető csoport képes volt oldalirányban a tartományvezérlőhöz költözni, hitelesítő adatokat ellopni, és Ngrok fordított proxykokat telepíteni az FCEB rendszerek állandóságának megőrzése érdekében. A CISA szerint a támadás június közepétől július közepéig történt.
"A CISA és az FBI arra ösztönöz minden olyan érintett VMware rendszerrel rendelkező szervezetet, amely nem alkalmazta azonnal a rendelkezésre álló javításokat vagy megoldásokat, hogy vállaljanak kompromisszumot és indítsanak fenyegetésvadászatot" - mondta a CISA. szabálysértési figyelmeztetés magyarázta. „Ha a jelen CSA-ban leírt IOC-k vagy TTP-k alapján gyanús kezdeti hozzáférést vagy kompromittálást észlelnek, a CISA és az FBI arra ösztönzi a szervezeteket, hogy vállalják a fenyegetés szereplőinek oldalirányú mozgását, vizsgálják meg a kapcsolódó rendszereket (beleértve a DC-t is), és ellenőrizzék a privilegizált fiókokat.”
