美国联邦调查局和CISA在11月16日发布的联合公告中透露,一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门(FCEB)组织,以部署XMRig加密恶意软件。
攻击者使用针对Log4Shell (CVE-2021-44228)远程代码执行漏洞的攻击方式,在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。
联合公告中写道:“在事件响应活动过程中,CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞,安装XMRig加密挖掘软件,横向移动到域控制器(DC),破坏凭据,然后在多个主机上植入Ngrok反向代理以保持持久性,”
这两个美国联邦机构还补充说:“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏,并建议他们开始在其网络中寻找恶意活动。”
CISA也在六月份警告说:“VMware Horizon和Unified Access Gateway(UAG)服务器仍然受到多个威胁行为者的攻击,包括国家支持的黑客组织,使用Log4Shell漏洞开展攻击。”
Log4Shell 可以被远程利用,以暴露在本地或 Internet 访问下的易受攻击的服务器为目标,在被破坏的网络之间横向移动,以访问存储敏感数据的内部系统。
国家黑客正在进行的Log4Shell利用
自从 2021 年 12 月披露后,多个威胁行为者几乎立即开始扫描和利用未修补的系统。
攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织,以及与一些勒索软件团伙关系密切而闻名的访问经纪人。
根据此类情况,CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。
在今天的公告中,CISA和FBI更是进一步建议组织应用建议的缓解和防御措施,包括:
1、将受影响的 VMware Horizon 和统一接入网关 (UAG) 系统更新到最新版本。
2、最大程度地减少组织面向 Internet 的攻击面。
3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为,执行、测试和验证组织的安全计划。
4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。
稿源:https://new.qq.com/rain/a/20221118A01BWL00
