Security Magazine: Iranisches APT verletzt Regierungsbehörde mit Log4Shell
Von der iranischen Regierung gesponserte Advanced Persistent Threat (APT)-Akteure haben die Federal Civilian Executive Branch (FCEB) und ihr Netzwerk verletzt, so ein von der US Cybersecurity and Infrastructure Security Agency (CISA) und dem Federal Bureau of Investigation (FBI) veröffentlichter Cybersicherheitsratgeber. .
Im Verlauf der Aktivitäten zur Reaktion auf Vorfälle stellte CISA fest, dass die APT-Akteure die Log4Shell-Schwachstelle in einem ungepatchten VMware Horizon-Server ausgenutzt, die XMRig-Krypto-Mining-Software installiert, seitlich zum Domänencontroller (DC) gewechselt, Anmeldeinformationen kompromittiert und dann Ngrok-Reverse-Proxys implantiert haben auf mehreren Hosts, um die Persistenz aufrechtzuerhalten.
Yaron Kassner, CTO und Mitbegründer von Silverfort, sagt: „Die Warnung von CISA ist ein Beweis für das unglückliche Erbe, vor dem wir zum Zeitpunkt der Entdeckung von Log4Shell gewarnt wurden.“ Es ist ein Geschenk an staatliche Akteure und Zugangsvermittler, und dieser Angriff ist ein Beweis dafür, welche Auswirkungen kritische Schwachstellen wie diese haben können, wenn sie nicht behoben werden. Wie wir hier sehen, können Angreifer, sobald sie erst einmal Fuß gefasst haben, einfach die Anmeldedaten des Administrators erbeuten und diese nutzen, um sich seitlich zu bewegen, bevor sie schließlich die gesamte Domäne kompromittieren. Dies unterstreicht die Notwendigkeit MFA innerhalb des Netzwerks, was hier eindeutig fehlte. Hoffentlich war Krypto-Mining das einzige Ergebnis dieses Angriffs und nicht mehr.“
