Một máy chủ VMware Horizon chưa được vá lỗi đã cho phép một nhóm APT do chính phủ Iran tài trợ sử dụng lỗ hổng Log4Shell để không chỉ xâm phạm các hệ thống của Chi nhánh Hành pháp Dân sự Liên bang (FCEB) của Hoa Kỳ mà còn triển khai phần mềm độc hại đào tiền điện tử XMRing.
FCEB là nhánh của chính phủ liên bang bao gồm Văn phòng Điều hành của Tổng thống, Bộ trưởng Nội các và các ban ngành hành pháp khác.
Cập nhật mới từ Cơ quan an ninh mạng và cơ sở hạ tầng (CISA) cho biết, cùng với FBI, các cơ quan này đã xác định Nhóm đe dọa do Iran hậu thuẫn đã có thể di chuyển sang bộ điều khiển miền, đánh cắp thông tin đăng nhập và triển khai proxy ngược Ngrok để duy trì tính bền vững trong các hệ thống FCEB. CISA cho biết cuộc tấn công xảy ra từ giữa tháng XNUMX đến giữa tháng XNUMX.
“CISA và FBI khuyến khích tất cả các tổ chức có hệ thống VMware bị ảnh hưởng mà chưa áp dụng ngay các bản vá hoặc giải pháp có sẵn hãy thực hiện hành vi xâm phạm và bắt đầu các hoạt động săn tìm mối đe dọa,” CISA cho biết. cảnh báo vi phạm giải thích. “Nếu phát hiện thấy quyền truy cập hoặc xâm phạm ban đầu bị nghi ngờ dựa trên IOC hoặc TTP được mô tả trong CSA này, CISA và FBI sẽ khuyến khích các tổ chức giả định hành động ngang hàng của các tác nhân đe dọa, điều tra các hệ thống được kết nối (bao gồm cả DC) và kiểm tra các tài khoản đặc quyền.”
