שרת VMware Horizon ללא תיקון אפשר לקבוצת APT בחסות ממשלת איראן להשתמש בפגיעות Log4Shell כדי לא רק לפרוץ את מערכות ה-Federal Civilian Executive Branch (FCEB) של ארה"ב, אלא גם לפרוס XMRing cryptominer תוכנות זדוניות למטרה טובה.
FCEB היא הזרוע של הממשל הפדרלי הכולל את המשרד המנהלי של הנשיא, מזכירי הקבינט ומחלקות אחרות של הרשות המבצעת.
עדכון חדש של הסוכנות לאבטחת סייבר ותשתיות (CISA) אמר כי יחד עם ה-FBI, הסוכנויות קבעו את קבוצת איומים בתמיכת איראן היה מסוגל לעבור לרוחב לבקר התחום, לגנוב אישורים ולפרוס פרוקסי הפוך של Ngrok כדי לשמור על התמדה במערכות FCEB. המתקפה התרחשה מאמצע יוני עד אמצע יולי, אמר CISA.
"CISA וה-FBI מעודדים את כל הארגונים עם מערכות VMware מושפעות שלא יישמו מיד תיקונים זמינים או דרכים לעקיפת הבעיה, להניח פשרה וליזום פעילויות ציד איומים", אמר CISA התראת הפרה הסביר. "אם מתגלה חשד לגישה ראשונית או לפשרה על סמך IOCs או TTPs המתוארים ב-CSA זה, CISA וה-FBI מעודדים ארגונים להניח תנועה רוחבית על ידי גורמי איומים, לחקור מערכות מחוברות (כולל DC), ולבקר חשבונות מועדפים."
