Düzeltme eki uygulanmamış bir VMware Horizon sunucusu, İran hükümeti destekli bir APT grubunun Log4Shell güvenlik açığını yalnızca ABD Federal Sivil Yürütme Şubesi (FCEB) sistemlerini ihlal etmek için kullanmasına değil, aynı zamanda iyi bir önlem olarak XMRing cryptominer kötü amaçlı yazılımını dağıtmasına izin verdi.
FCEB, Başkanlık İcra Dairesi, Kabine Sekreterleri ve diğer yürütme organı departmanlarını içeren federal hükümetin koludur.
Siber Güvenlik ve Altyapı Güvenliği Ajansı’ndan (CISA) yapılan yeni bir güncelleme, ajansların FBI ile birlikte İran destekli tehdit grubunun yanal olarak etki alanı denetleyicisine geçebildiğini, kimlik bilgilerini çalabildiğini ve kalıcılığı sürdürmek için Ngrok ters proxy’lerini yerleştirebildiğini belirlediklerini söyledi. FCEB sistemlerinde. CISA, saldırının Haziran ortasından Temmuz ortasına kadar gerçekleştiğini söyledi.
“CISA ve FBI, etkilenen VMware sistemlerine sahip olan ve mevcut yamaları veya geçici çözümleri hemen uygulamayan tüm kuruluşları uzlaşmaya varmaya ve tehdit avlama faaliyetleri başlatmaya teşvik ediyor.” ihlal uyarısı açıkladı. “Bu CSA’da açıklanan IOC’lere veya TTP’lere dayalı olarak şüphelenilen ilk erişim veya güvenlik ihlali tespit edilirse, CISA ve FBI, kuruluşları tehdit aktörleri tarafından yanal hareket üstlenmeye, bağlı sistemleri (DC dahil) araştırmaya ve ayrıcalıklı hesapları denetlemeye teşvik eder.”