Düzeltme eki uygulanmamış bir VMware Horizon sunucusu, İran hükümeti destekli bir APT grubunun Log4Shell güvenlik açığını yalnızca ABD Federal Sivil Yürütme Şubesi (FCEB) sistemlerini ihlal etmek için kullanmasına değil, aynı zamanda iyi bir önlem olarak XMRing cryptominer kötü amaçlı yazılımını dağıtmasına izin verdi.
FCEB, Başkanlık İcra Dairesi, Kabine Sekreterleri ve diğer yürütme organı departmanlarını içeren federal hükümetin koludur.
Siber Güvenlik ve Altyapı Güvenliği Ajansı'ndan (CISA) gelen yeni bir güncelleme, FBI ile birlikte ajansların da belirlediğini söyledi. İran destekli tehdit grubu FCEB sistemlerinde kalıcılığı sürdürmek için yanal olarak etki alanı denetleyicisine geçebildi, kimlik bilgilerini çalabildi ve Ngrok ters proxy'lerini konuşlandırabildi. CISA, saldırının Haziran ortasından Temmuz ortasına kadar gerçekleştiğini söyledi.
"CISA ve FBI, etkilenen VMware sistemlerine sahip olan ve mevcut yamaları veya geçici çözümleri hemen uygulamayan tüm kuruluşları uzlaşmaya varmaya ve tehdit avlama faaliyetleri başlatmaya teşvik ediyor." ihlal uyarısı açıkladı. "Bu CSA'da açıklanan IOC'ler veya TTP'lere dayalı olarak ilk erişimden veya güvenlik ihlalinden şüphelenilirse, CISA ve FBI, kuruluşları tehdit aktörleri tarafından yanal hareket etmeye, bağlı sistemleri (DC dahil) araştırmaya ve ayrıcalıklı hesapları denetlemeye teşvik eder."
