Revista Security: APT iraniano viola agência governamental usando Log4Shell
Atores de ameaças persistentes avançadas (APT) patrocinados pelo governo iraniano violaram o Poder Executivo Civil Federal (FCEB) e sua rede, de acordo com um comunicado de segurança cibernética divulgado pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e pelo Federal Bureau of Investigation (FBI). .
No decorrer das atividades de resposta a incidentes, a CISA determinou que os atores do APT exploraram a vulnerabilidade Log4Shell em um servidor VMware Horizon sem patch, instalaram o software de mineração de criptografia XMRig, moveram-se lateralmente para o controlador de domínio (DC), comprometeram credenciais e, em seguida, implantaram proxies reversos Ngrok em vários hosts para manter a persistência.
Yaron Kassner, CTO e cofundador da Silverfort, diz: “O alerta da CISA é uma evidência do infeliz legado que fomos avisados que esperaríamos do Log4Shell no momento de sua descoberta. É um presente para os intervenientes estatais e os corretores de acesso, e este ataque é a prova do impacto que vulnerabilidades críticas como esta podem ter quando não corrigidas. Como vemos aqui, uma vez conquistada uma posição de apoio, os invasores podem simplesmente obter credenciais de administrador e usá-las para se mover lateralmente antes de comprometer todo o domínio. Isto enfatiza a necessidade de MFA dentro da rede, o que claramente estava faltando aqui. Esperançosamente, a mineração de criptografia foi o único resultado deste ataque e não mais do que isso.”
