Сервер VMware Horizon без виправлень дозволив спонсорованій урядом Ірану групі APT використовувати вразливість Log4Shell, щоб не лише зламати системи Федеральної цивільної виконавчої влади США (FCEB), але й розгорнути зловмисне програмне забезпечення XMRing cryptominer.
FCEB — це підрозділ федерального уряду, який включає виконавчий офіс президента, секретарів кабінету міністрів та інші департаменти виконавчої влади.
У новому оновленні Агентства з кібербезпеки та безпеки інфраструктури (CISA) зазначено, що разом із ФБР агентства визначили Група загроз, яку підтримує Іран зміг переміститися до контролера домену, викрасти облікові дані та розгорнути зворотні проксі Ngrok для підтримки стійкості в системах FCEB. За даними CISA, атака сталася з середини червня до середини липня.
«CISA та ФБР заохочують усі організації з ураженими системами VMware, які не відразу застосували доступні виправлення або обхідні шляхи, припустити компрометацію та розпочати пошук загроз», — CISA сповіщення про порушення пояснив. «Якщо підозрюваний початковий доступ або компрометацію виявлено на основі IOC або TTP, описаних у цьому CSA, CISA та FBI заохочують організації припускати латеральне переміщення суб’єктів загрози, досліджувати пов’язані системи (включаючи DC) і перевіряти привілейовані облікові записи».
