FBI と CISA は、本日公開された共同勧告で、名前のないイランが支援する脅威グループが、連邦市民行政府 (FCEB) 組織をハッキングして、XMRig クリプトマイニング マルウェアを展開したことを明らかにしました。
攻撃者は、 Log4Shell (CVE-2021-44228) リモート コード実行の脆弱性を標的とするエクスプロイトを使用して、パッチが適用されていない VMware Horizon サーバーにハッキングした後、連邦ネットワークを侵害しました。
暗号通貨マイナーを展開した後、イランの脅威アクターは、侵害されたサーバーにリバース プロキシを設定して、FCEB 機関のネットワーク内で持続性を維持しました。
「インシデント対応活動の過程で、CISA は、サイバー攻撃者が、パッチが適用されていない VMware Horizon サーバーの Log4Shell 脆弱性を悪用し、XMRig 暗号マイニング ソフトウェアをインストールし、ドメイン コントローラー (DC) に横移動し、資格情報を侵害し、Ngrok リバースを埋め込んだと判断しました。永続性を維持するために複数のホストでプロキシを使用すること」と共同勧告には書かれています。
2 つの米国連邦政府機関は、VMware システムに Log4Shell に対するパッチをまだ適用していないすべての組織は、すでに侵害されていると想定し、ネットワーク内の悪意のある活動を探し始めるようにアドバイスする必要があると付け加えました。
CISA は 6 月に、VMware Horizo n および Unified Access Gateway (UAG) サーバーが、Log4Shell のエクスプロイトを使用して、国が支援するハッキング グループを含む複数の攻撃者によって依然として食い物にされていると警告しました。
Log4Shell をリモートで悪用して、ローカルまたはインターネット アクセスにさらされている脆弱なサーバーを標的にし、侵害されたネットワークを横方向に移動して、機密データを保存する内部システムにアクセスすることができます。
州のハッカーによる継続的な Log4Shell の悪用
2021 年 12 月に公開された後、複数の攻撃者がすぐに、パッチが適用されていないシステムのスキャンと悪用を開始しました。
攻撃者のリストには、国が支援する中国、イラン、北朝鮮、トルコのハッキング グループや、一部のランサムウェア ギャングとの緊密な関係で知られるアクセス ブローカーが含まれています。
CISA はまた、脆弱な VMware サーバーを使用している組織には、それらが侵害されたと想定し、脅威ハンティング活動を開始するようアドバイスしました。
VMware はまた、1 月に顧客に対し、VMware Horizon サーバーを Log4Shell 攻撃の試みからできるだけ早く保護するよう促しました。
1 月以降、インターネットに公開された VMware Horizon サーバーは、中国語を話す脅威アクターによってハッキングされ、 Night Sky ランサムウェアを展開し、Lazarus 北朝鮮 APT は情報窃盗犯を展開し、イラン系の TunnelVision ハッキング グループはバックドアを展開しました。
本日のアドバイザリで、CISA と FBI は組織に対し、次のような推奨される緩和策と防御策を適用するよう強く勧告しました。
- 影響を受ける VMware Horizon およびユニファイド アクセス ゲートウェイ (UAG) システムを最新バージョンに更新します。
- 組織のインターネットに面した攻撃面を最小限に抑えます。
- CSA の MITRE ATT&CK for Enterprise フレームワークにマッピングされた脅威の動作に対して、組織のセキュリティ プログラムを実行、テスト、および検証します。
- アドバイザリで説明されている ATT&CK 手法に対して、組織の既存のセキュリティ コントロールをテストします。
Comments