Server VMware Horizon yang belum ditambal memungkinkan grup APT yang disponsori pemerintah Iran untuk menggunakan kerentanan Log4Shell untuk tidak hanya menembus sistem Federal Civilian Executive Branch (FCEB) AS, tetapi juga menyebarkan malware XMRing cryptominer untuk tindakan yang baik.
FCEB adalah lengan pemerintah federal yang mencakup Kantor Eksekutif Presiden, Sekretaris Kabinet, dan departemen cabang eksekutif lainnya.
Pembaruan baru dari Cybersecurity and Infrastructure Security Agency (CISA) mengatakan bahwa bersama dengan FBI, agensi menentukan kelompok ancaman yang didukung Iran dapat berpindah secara lateral ke pengontrol domain, mencuri kredensial, dan menggunakan proxy balik Ngrok untuk mempertahankan kegigihan dalam sistem FCEB. Serangan itu terjadi dari pertengahan Juni hingga pertengahan Juli, kata CISA.
“CISA dan FBI mendorong semua organisasi dengan sistem VMware yang terpengaruh yang tidak segera menerapkan tambalan atau solusi yang tersedia untuk menerima kompromi dan memulai aktivitas berburu ancaman,” kata CISA peringatan pelanggaran dijelaskan. “Jika dugaan akses atau penyusupan awal terdeteksi berdasarkan IOC atau TTP yang dijelaskan dalam CSA ini, CISA dan FBI mendorong organisasi untuk menganggap pergerakan lateral oleh pelaku ancaman, menyelidiki sistem yang terhubung (termasuk DC), dan mengaudit akun istimewa.”