美国网络安全及基础设施安全局(CISA)本周指出,该局在参与一个联邦文职行政部门(Federal Civilian Executive Branch,FCEB)的安全事件应变时,发现伊朗黑客利用了未修补的Log4Shell漏洞,于受害组织植入了XMRig挖矿程序,还在组织内部横向移动、窃取凭证,同时安装了反向代理工具Ngrok企图长驻。
由CISA负责管辖的FCEB组织有数十个,CISA并未公布受害组织的名称,不过,显然该组织已违反CISA的规定,因为遭到黑客利用的Log4Shell漏洞CVE-2021-44228早在去年底就被CISA列入已知被滥用的安全漏洞(Known Exploited Vulnerabilities)目录中,所有FCEB组织都应该已于去年12月24日以前修补完成。
根据CISA与美国联邦调查局(FBI)的调查,黑客是在今年2月借由VMware Horizon服务器上未修补的CVE-2021-44228漏洞成功入侵该组织,而CISA则是在4月以入侵侦测系统EINSTEIN进行分析时,发现了该组织网络上的可疑行动。
分析显示,这应是由伊朗赞助的国家级黑客所为,除了在该组织的系统上安装XMRig挖扩程序之外,也横向移动至域名控制器,窃取了该组织的多个凭证,并植入Ngrok。
CISA公布了该攻击行为的入侵指标(Indicators of Compromise,IOC)与战术、技术和流程(TPP)供外界参考,并建议有侦测到相关ICO与TPP的其它组织,应假设黑客已执行横向移动并展开全面的调查。
原文:https://baijiahao.baidu.com/s?id=1749817884221819363
