İsimsiz bir İran devlet destekli bilgisayar korsanlığı grubu, bir Amerikan Federal Sivil Yürütme Şubesi (FCEB) kuruluşuna ait uç noktaları ele geçirmeyi başardı ve erişimini bir kripto para madenciliği kurmak için kullandı.
Siber Güvenlik ve Altyapı Ajansı (CISA) yayınlanan (yeni sekmede açılır) bulgular bu hafta başlarında. Raporuna göre, CISA, gelişmiş kalıcı tehdit (APT) faaliyeti şüphelerini araştırmak için Haziran ortasında getirildi.
Temmuz 2022’de sona eren bir aylık soruşturmanın ardından ajans, İran devleti destekli bir tehdit aktörünün kötü şöhretli log4j güvenlik açığı Log4Shell’den yararlanarak yama uygulanmamış bir VMware Horizon sunucusunu ele geçirmeyi başardığı sonucuna vardı.
VMware sistemlerine yama uygulama
Grup, erişimi, takip edilmesi ve izlenmesi neredeyse imkansız olan gizliliğe öncelik veren bir kripto para birimi olan Monero’yu oluşturmak için cihazın bilgi işlem gücünü kullanan bilinen bir kripto para madencisi olan XMRig’i yüklemek için kullandı.
Aktörler ayrıca yanal olarak etki alanı denetleyicisine (DC) taşındı, kimlik bilgilerini tehlikeye attı ve ardından ağda kalıcılığı sürdürmek için birkaç ana bilgisayara Ngrok ters proxy’leri yerleştirdi.
Bu bulguların yayınlanmasının ardından CISA, FBI ile birlikte benzer VMware sistemlerine sahip tüm kuruluşları mevcut yamaları hemen uygulamaya veya bilinen geçici çözümleri yüklemeye çağırdı.
Etkilenen VMware sistemlerine sahip tüm kuruluşlara “uzlaşmayı kabul etmeleri” ve tehdit avlama faaliyetleri başlatmaları söylendi.
Duyuruda, “Bu CSA’da açıklanan IOC’ler veya TTP’lere dayalı olarak ilk erişim veya güvenlik ihlali şüphesi tespit edilirse, CISA ve FBI, kuruluşları tehdit aktörleri tarafından yanal hareket üstlenmeye, bağlı sistemleri (DC dahil) araştırmaya ve ayrıcalıklı hesapları denetlemeye teşvik eder” duyurusu yer alıyor. .
“Belirlenmiş güvenlik ihlali kanıtlarına bakılmaksızın tüm kuruluşlar, benzer kötü niyetli siber faaliyetlere karşı koruma sağlamak için bu CSA’nın Azaltmalar bölümündeki önerileri uygulamalıdır.”
İlk olarak geçen yılın sonlarında keşfedilen Log4Shell, CISA direktörü Jen Easterly tarafından “gördüğü en ciddi, hatta en ciddi” güvenlik açığı olarak tanımlandı.
