Security Magazine: 이란 APT, Log4Shell을 사용하여 정부 기관 침해
미국 사이버보안 및 인프라 보안국(CISA)과 연방수사국(FBI)이 발표한 사이버보안 권고에 따르면, 이란 정부가 후원하는 지능형 지속 위협(APT) 공격자들이 FCEB(연방 민간 행정부)와 그 네트워크를 침해했다고 합니다. .
사고 대응 활동 과정에서 CISA는 APT 공격자가 패치가 적용되지 않은 VMware Horizon 서버의 Log4Shell 취약점을 악용하고, XMRig 암호화 마이닝 소프트웨어를 설치하고, 도메인 컨트롤러(DC)로 측면 이동하고, 자격 증명을 손상시킨 후 Ngrok 역방향 프록시를 이식했다는 사실을 확인했습니다. 지속성을 유지하기 위해 여러 호스트에서.
Yaron Kassner, CTO 겸 공동 창립자 Silverfort, “CISA의 경고는 발견 당시 Log4Shell에서 기대했던 불행한 유산의 증거입니다. 이는 국가 행위자와 액세스 브로커에게 선물이며, 이 공격은 패치를 적용하지 않은 채 방치할 경우 이와 같은 심각한 취약점이 미칠 수 있는 영향을 입증합니다. 여기서 볼 수 있듯이 일단 발판을 마련하면 공격자는 간단히 관리자 자격 증명을 획득하고 이를 사용하여 전체 도메인을 손상시키기 전에 측면으로 이동할 수 있습니다. 이는 다음의 필요성을 강조합니다. MFA 여기에는 분명히 누락된 네트워크 내부가 있습니다. 암호화폐 채굴이 이번 공격의 유일한 결과였기를 바라지만 그 이상은 아니었습니다.”
