0
0
Um servidor VMware Horizon sem patch permitiu que um grupo APT patrocinado pelo governo iraniano usasse a vulnerabilidade Log4Shell para não apenas violar os sistemas do Poder Executivo Federal Civil dos EUA (FCEB), mas também implantar malware criptominerador XMRing para uma boa medida.
FCEB é o braço do governo federal que inclui o Gabinete Executivo do Presidente, Secretários de Gabinete e outros departamentos do poder executivo.
Uma nova atualização da Agência de Segurança Cibernética e Infraestrutura (CISA) disse que, junto com o FBI, as agências determinaram que o grupo de ameaças apoiado pelo Irã foi capaz de se mover lateralmente para o controlador de domínio, roubar credenciais e implantar proxies reversos Ngrok para manter a persistência. nos sistemas FCEB. O ataque ocorreu de meados de junho a meados de julho, disse a CISA.
“A CISA e o FBI incentivam todas as organizações com sistemas VMware afetados que não aplicaram imediatamente os patches ou soluções alternativas disponíveis para assumir o comprometimento e iniciar atividades de caça à ameaça”, explicou o alerta de violação da CISA. “Se suspeita de acesso inicial ou comprometimento for detectado com base em IOCs ou TTPs descritos neste CSA, CISA e FBI encorajam as organizações a assumir o movimento lateral por agentes de ameaças, investigar sistemas conectados (incluindo o DC) e auditar contas privilegiadas”.
FONTE: DARK READING