Een niet-gepatchte VMware Horizon-server stelde een door de Iraanse overheid gesponsorde APT-groep in staat om de Log4Shell-kwetsbaarheid te gebruiken om niet alleen de systemen van de Amerikaanse Federal Civilian Executive Branch (FCEB) te doorbreken, maar ook XMRing-cryptominer-malware in te zetten voor een goede maatregel.
FCEB is de arm van de federale overheid die het uitvoerend bureau van de president, kabinetssecretarissen en andere uitvoerende afdelingen omvat.
Een nieuwe update van de Cybersecurity and Infrastructure Security Agency (CISA) zei dat de agentschappen samen met de FBI de Door Iran gesteunde dreigingsgroep was in staat om lateraal naar de domeincontroller te gaan, inloggegevens te stelen en Ngrok reverse proxies in te zetten om de FCEB-systemen te behouden. De aanval vond plaats van half juni tot half juli, zei CISA.
"CISA en FBI moedigen alle organisaties met getroffen VMware-systemen die niet onmiddellijk beschikbare patches of tijdelijke oplossingen hebben toegepast aan om compromissen te sluiten en bedreigingsjachtactiviteiten te starten", aldus CISA's inbreuk alarm uitgelegd. "Als vermoedelijke initiรซle toegang of compromittering wordt gedetecteerd op basis van IOC's of TTP's beschreven in deze CSA, moedigen CISA en FBI organisaties aan om laterale beweging door bedreigingsactoren aan te nemen, verbonden systemen (inclusief de DC) te onderzoeken en geprivilegieerde accounts te controleren."
