En oparpad VMware Horizon-server gjorde det möjligt för en iransk regeringssponsrad APT-grupp att använda Log4Shell-sårbarheten för att inte bara bryta mot USA:s Federal Civilian Executive Branch (FCEB) system, utan även distribuera XMRing cryptominer malware för gott.
FCEB är den federala regeringens arm som inkluderar presidentens, kabinettssekreterarnas och andra verkställande avdelningars verkställande kontor.
En ny uppdatering från Cybersecurity and Infrastructure Security Agency (CISA) sa att byråerna tillsammans med FBI fastställde Iranstödd hotgrupp kunde flytta i sidled till domänkontrollanten, stjäla referenser och distribuera Ngrok omvända proxyservrar för att bibehålla uthållighet i FCEB-systemen. Attacken inträffade från mitten av juni till mitten av juli, sa CISA.
"CISA och FBI uppmuntrar alla organisationer med påverkade VMware-system som inte omedelbart tillämpade tillgängliga patchar eller lösningar att anta kompromisser och initiera hotjaktaktiviteter," CISA:s intrångsvarning förklarade. "Om misstänkt initial åtkomst eller kompromiss upptäcks baserat på IOC eller TTP som beskrivs i denna CSA, uppmuntrar CISA och FBI organisationer att anta sidoförflyttning av hotaktörer, undersöka anslutna system (inklusive DC) och granska privilegierade konton."
