Security Magazine : l'APT iranien viole une agence gouvernementale en utilisant Log4Shell
Des acteurs de la menace persistante avancée (APT) parrainés par le gouvernement iranien ont violé la branche exécutive civile fédérale (FCEB) et son réseau, selon un avis de cybersécurité publié par la Cybersecurity and Infrastructure Security Agency (CISA) des États-Unis et le Federal Bureau of Investigation (FBI) .
Au cours des activités de réponse aux incidents, la CISA a déterminé que les acteurs APT ont exploité la vulnérabilité Log4Shell dans un serveur VMware Horizon non corrigé, installé le logiciel de crypto-minage XMRig, déplacé latéralement vers le contrôleur de domaine (DC), compromis les informations d'identification, puis implanté des proxys inverses Ngrok. sur plusieurs hôtes pour maintenir la persistance.
Yaron Kassner, CTO et co-fondateur de Silverfort, dit: «L'alerte de CISA est la preuve de l'héritage malheureux que nous avions prévenu d'attendre de Log4Shell au moment de sa découverte. C'est un cadeau pour les acteurs étatiques et les courtiers d'accès, et cette attaque est la preuve de l'impact que des vulnérabilités critiques comme celle-ci peuvent avoir lorsqu'elles ne sont pas corrigées. Comme nous le voyons ici, une fois qu'un pied est acquis, les attaquants peuvent alors simplement récupérer les informations d'identification de l'administrateur et les utiliser pour se déplacer latéralement avant de finalement compromettre l'ensemble du domaine. Cela souligne la nécessité de MFA à l'intérieur du réseau, ce qui manquait clairement ici. Espérons que le crypto-mining était le seul résultat de cette attaque et pas plus que cela.
