Einer namentlich nicht genannten iranischen staatlich geförderten Hacking-Gruppe gelang es, die Endpunkte einer amerikanischen Federal Civilian Executive Branch (FCEB)-Organisation zu kompromittieren und ihren Zugang zu nutzen, um einen Kryptowährungs-Miner einzusetzen.
Die Agentur für Cybersicherheit und Infrastruktur (CISA) veröffentlicht (öffnet in neuem Tab) die Ergebnisse Anfang dieser Woche. Laut seinem Bericht wurde CISA Mitte Juni hinzugezogen, um den Verdacht auf Advanced Persistent Threat (APT)-Aktivität zu untersuchen.
Nach einer einmonatigen Untersuchung, die im Juli 2022 endete, kam die Agentur zu dem Schluss, dass es einem vom iranischen Staat geförderten Bedrohungsakteur gelungen ist, einen ungepatchten VMware Horizon-Server zu kompromittieren, indem er die berüchtigte log4j-Schwachstelle Log4Shell ausnutzte.
Patchen von VMware-Systemen
Die Gruppe nutzte den Zugang, um XMRig zu installieren, einen bekannten Kryptowährungs-Miner, der die Rechenleistung des Geräts nutzt, um Monero zu generieren, eine datenschutzorientierte Kryptowährung, die fast unmöglich zu verfolgen und zu verfolgen ist.
Die Akteure bewegten sich auch seitlich zum Domänencontroller (DC), kompromittierten Anmeldeinformationen und implantierten dann Ngrok-Reverse-Proxys auf mehreren Hosts, um die Persistenz im Netzwerk aufrechtzuerhalten.
Nach der Veröffentlichung dieser Ergebnisse forderte CISA zusammen mit dem FBI alle Organisationen mit ähnlichen VMware-Systemen auf, die verfügbaren Patches sofort anzuwenden oder bekannte Problemumgehungen zu laden.
Allen Organisationen mit betroffenen VMware-Systemen wurde gesagt, dass sie „von einer Kompromittierung ausgehen“ und Aktivitäten zur Bedrohungssuche einleiten sollen.
„Wenn der Verdacht auf einen anfänglichen Zugriff oder eine Kompromittierung auf der Grundlage von IOCs oder TTPs, die in dieser CSA beschrieben sind, entdeckt wird, ermutigen CISA und FBI Organisationen dazu, eine seitliche Bewegung von Bedrohungsakteuren anzunehmen, verbundene Systeme (einschließlich des DC) zu untersuchen und privilegierte Konten zu prüfen“, heißt es in der Ankündigung .
„Alle Organisationen sollten unabhängig von identifizierten Beweisen für eine Gefährdung die Empfehlungen im Abschnitt „Mitigations“ dieser CSA anwenden, um sich vor ähnlichen böswilligen Cyberaktivitäten zu schützen.“
Log4Shell, das erstmals Ende letzten Jahres entdeckt wurde, wurde von CISA-Direktorin Jen Easterly als „eine der schwerwiegendsten, wenn nicht sogar die schwerwiegendste“ Schwachstelle beschrieben, die sie je gesehen hat.