Revista de seguridad: La APT iraní viola una agencia gubernamental utilizando Log4Shell
Los actores de amenazas persistentes avanzadas (APT) patrocinados por el gobierno iraní violaron el Poder Ejecutivo Civil Federal (FCEB) y su red, según un aviso de ciberseguridad publicado por la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) .
En el curso de las actividades de respuesta a incidentes, CISA determinó que los actores de APT explotaron la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominería XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron servidores proxy inversos Ngrok. en varios hosts para mantener la persistencia.
Yaron Kassner, CTO y cofundador de Silverfort, dice: “La alerta de CISA es evidencia del desafortunado legado que nos advirtieron que esperábamos de Log4Shell en el momento de su descubrimiento. Es un regalo para los actores estatales y los intermediarios de acceso, y este ataque es una prueba del impacto que pueden tener vulnerabilidades críticas como ésta si no se corrigen. Como vemos aquí, una vez que se logra un punto de apoyo, los atacantes pueden simplemente tomar las credenciales de administrador y usarlas para moverse lateralmente antes de comprometer todo el dominio. Esto enfatiza la necesidad de MFA dentro de la red, que claramente faltaba aquí. Con suerte, la criptominería fue el único resultado de este ataque y no más que eso”.
