FBI 和 CISA 在今天发布的一份联合报告中透露,一个未具名的伊朗支持的威胁组织入侵了一个联邦民用行政部门 (FCEB) 组织以部署 XMRig 加密挖矿恶意软件。
攻击者使用针对Log4Shell (CVE-2021-44228) 远程代码执行漏洞的漏洞攻击未打补丁的 VMware Horizon 服务器后,入侵了联邦网络。
在部署加密货币矿工后,伊朗威胁行为者还在受感染的服务器上设置反向代理,以维持 FCEB 机构网络内的持久性。
“在事件响应活动过程中,CISA 确定网络威胁行为者利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞,安装 XMRig 加密挖掘软件,横向移动到域控制器 (DC),破坏凭据,然后反向植入 Ngrok多个主机上的代理以保持持久性,”联合咨询中写道。
这两个美国联邦机构补充说,所有尚未针对 Log4Shell 修补其 VMware 系统的组织都应该假设它们已经被破坏,并建议它们开始在其网络中寻找恶意活动。
CISA 在 6 月警告说,VMware Horizon 和统一访问网关 (UAG) 服务器仍然受到多个威胁参与者的攻击,包括国家支持的黑客组织,使用 Log4Shell 漏洞。
可以远程利用 Log4Shell 将易受攻击的服务器定位为暴露于本地或 Internet 访问权限的服务器,从而横向移动穿过被破坏的网络以访问存储敏感数据的内部系统。
国家黑客对 Log4Shell 的持续利用
在 2021 年 12 月披露后,多个威胁参与者几乎立即开始扫描和利用未打补丁的系统。
攻击者名单包括来自中国、伊朗、朝鲜和土耳其的国家支持的黑客组织,以及以与一些勒索软件团伙关系密切而闻名的访问代理。
CISA 还建议拥有易受攻击的 VMware 服务器的组织假设它们已被破坏并启动威胁搜寻活动。
VMware 在 1 月份还敦促客户尽快保护他们的 VMware Horizon 服务器免受 Log4Shell 攻击。
自 1 月以来,暴露在互联网上的 VMware Horizon 服务器已被讲中文的威胁行为者黑客攻击以部署Night Sky 勒索软件,Lazarus 朝鲜 APT 以部署信息窃取程序,以及与伊朗结盟的 TunnelVision 黑客组织以部署后门程序。
在今天的咨询中,CISA 和 FBI强烈建议组织应用建议的缓解和防御措施,包括:
- 将受影响的 VMware Horizon 和统一访问网关 (UAG) 系统更新到最新版本。
- 最大限度地减少组织面向 Internet 的攻击面。
- 针对映射到 CSA 中企业框架的 MITRE ATT&CK 的威胁行为,执行、测试和验证您组织的安全程序。
- 针对咨询中描述的 ATT&CK 技术测试您组织的现有安全控制。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » 美国政府:伊朗黑客利用Log4Shell漏洞入侵联邦机构
