Se culpó a los actores de amenazas patrocinados por el gobierno iraní por comprometer a una agencia federal de EE. UU. al aprovechar la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parches.
Los detalles, que fueron compartidos por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA), surgen en respuesta a los esfuerzos de respuesta a incidentes realizados por la autoridad desde mediados de junio hasta mediados de julio de 2022.
“Los actores de amenazas cibernéticas explotaron la vulnerabilidad de Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominería XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos Ngrok en varios hosts para mantener la persistencia”, CISA señalado.
LogShell, también conocido como CVE-2021-44228, es una falla crítica de ejecución remota de código en la biblioteca de registro basada en Java Apache Log4j ampliamente utilizada. Fue abordado por los mantenedores del proyecto de código abierto en diciembre de 2021.
El último desarrollo marca el abuso continuo de las vulnerabilidades de Log4j en los servidores VMware Horizon por parte de grupos patrocinados por el estado iraní desde principios de año. CISA no atribuyó el evento a un grupo de hackers en particular.
Sin embargo, un aviso conjunto publicado por Australia, Canadá, el Reino Unido y los EE. UU. en septiembre de 2022 señaló al Cuerpo de la Guardia Revolucionaria Islámica (IRGC) de Irán por aprovechar la deficiencia para llevar a cabo actividades posteriores a la explotación.
Se cree que la organización afectada, según CISA, fue violada ya en febrero de 2022 al utilizar la vulnerabilidad como arma para agregar una nueva regla de exclusión a Windows Defender que incluyó en la lista de permitidos todo el disco C:.
Al hacerlo, el adversario pudo descargar un script de PowerShell sin activar ningún análisis antivirus que, a su vez, recuperó el XMRig software de minería de criptomonedas alojado en un servidor remoto en forma de archivo ZIP.
El acceso inicial permitió además a los actores obtener más cargas útiles, como PsExec, Mimikatzy Ngrokademás de usar PDR para el movimiento lateral y deshabilitar Windows Defender en los puntos finales.
“Los actores de amenazas también cambiaron la contraseña de la cuenta de administrador local en varios hosts como una copia de seguridad en caso de que la cuenta de administrador de dominio deshonesto fuera detectada y cancelada”, señaló CISA.
También se detectó un intento fallido de volcar el proceso del Servicio de subsistema de autoridad de seguridad local (LSASS) mediante el Administrador de tareas de Windows, que fue bloqueado por la solución antivirus implementada en el entorno de TI.
Microsoft, en un informe del mes pasado, reveló que los ciberdelincuentes apuntan a las credenciales en el proceso LSASS debido al hecho de que “puede almacenar no solo las credenciales del sistema operativo de un usuario actual, sino también las de un administrador de dominio”.
“Descargar las credenciales de LSASS es importante para los atacantes porque si descargan con éxito las contraseñas de dominio, pueden, por ejemplo, usar herramientas legítimas como PsExec o Windows Management Instrumentation (WMI) para moverse lateralmente a través de la red”, dijo el gigante tecnológico. dijo.