パッチが適用されていない VMware Horizon サーバーにより、イラン政府が支援する APT グループが Log4Shell の脆弱性を利用して、米国連邦市民行政局 (FCEB) システムに侵入しただけでなく、XMRing クリプトマイナー マルウェアを適切な手段で展開することができました。
FCEB は連邦政府の機関であり、大統領府、内閣官房、およびその他の行政府部門が含まれます。
サイバーセキュリティおよびインフラストラクチャ セキュリティ エージェンシー (CISA) からの最新情報によると、FBI とともに、これらの機関は、 イランが支援する脅威グループ 横方向にドメイン コントローラーに移動し、資格情報を盗み、Ngrok リバース プロキシを展開して FCEB システムでの永続性を維持することができました。 CISAによると、攻撃はXNUMX月中旬からXNUMX月中旬にかけて発生したという。
「CISA と FBI は、利用可能なパッチや回避策をすぐに適用しなかった影響を受けた VMware システムを持つすべての組織に対して、侵害を想定して脅威ハンティング活動を開始することを奨励しています。」 違反アラート 説明した。 「この CSA に記載されている IOC または TTP に基づいて初期アクセスまたは侵害の疑いが検出された場合、CISA および FBI は、組織が脅威アクターによる横方向の動きを想定し、接続されたシステム (DC を含む) を調査し、特権アカウントを監査することを奨励します。」
より多くの 暗い読書
Invicti Security と ESG が、企業がより高品質で安全なアプリケーション コードにどのように移行しているかについて報告します
ソースノード: 1688816
タイムスタンプ: 2022 年 9 月 20 日
