En uopprettet VMware Horizon-server tillot en iransk regjeringssponset APT-gruppe å bruke Log4Shell-sårbarheten til ikke bare å bryte US Federal Civilian Executive Branch (FCEB)-systemene, men også distribuere XMRing cryptominer malware for godt mål.
FCEB er armen til den føderale regjeringen som inkluderer eksekutivkontoret til presidenten, kabinettsekretærer og andre utøvende avdelinger.
En ny oppdatering fra Cybersecurity and Infrastructure Security Agency (CISA) sa at sammen med FBI bestemte byråene Iransk-støttet trusselgruppe var i stand til å flytte sideveis til domenekontrolleren, stjele legitimasjon og distribuere Ngrok omvendte proxyer for å opprettholde utholdenhet i FCEB-systemene. Angrepet skjedde fra midten av juni til midten av juli, sa CISA.
"CISA og FBI oppfordrer alle organisasjoner med berørte VMware-systemer som ikke umiddelbart brukte tilgjengelige oppdateringer eller løsninger til å påta seg kompromisser og sette i gang trusseljaktaktiviteter," sier CISA. bruddvarsel forklart. "Hvis mistenkt innledende tilgang eller kompromittering oppdages basert på IOC-er eller TTP-er beskrevet i denne CSA, oppfordrer CISA og FBI organisasjoner til å anta sideveis bevegelse av trusselaktører, undersøke tilkoblede systemer (inkludert DC), og revidere privilegerte kontoer."