นิตยสารความปลอดภัย: APT ของอิหร่านละเมิดหน่วยงานของรัฐโดยใช้ Log4Shell
ภัยคุกคามขั้นสูงแบบถาวร (APT) ที่รัฐบาลอิหร่านสนับสนุน ละเมิดสำนักงานบริหารพลเรือนกลาง (FCEB) และเครือข่าย ตามคำแนะนำด้านความปลอดภัยทางไซเบอร์ที่ออกโดยสำนักงานความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) และสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกา (FBI) .
ในระหว่างกิจกรรมการตอบสนองต่อเหตุการณ์ CISA ระบุว่าผู้ดำเนินการ APT ใช้ประโยชน์จากช่องโหว่ Log4Shell ในเซิร์ฟเวอร์ VMware Horizon ที่ไม่ได้แพตช์ ติดตั้งซอฟต์แวร์ XMRig crypto mining ย้ายด้านข้างไปยังตัวควบคุมโดเมน (DC) ข้อมูลประจำตัวที่ถูกบุกรุก จากนั้นฝัง Ngrok reverse proxies บนโฮสต์หลายตัวเพื่อรักษาความคงอยู่
Yaron Kassner, CTO และผู้ร่วมก่อตั้ง Silverfortกล่าวว่า "การแจ้งเตือนจาก CISA เป็นหลักฐานของมรดกที่น่าเสียดายที่เราได้รับคำเตือนให้คาดหวังจาก Log4Shell ในเวลาที่ค้นพบ มันเป็นของขวัญสำหรับนักแสดงของรัฐและนายหน้าการเข้าถึง และการโจมตีนี้เป็นข้อพิสูจน์ถึงผลกระทบของช่องโหว่ร้ายแรงเช่นนี้ที่สามารถมีได้เมื่อปล่อยทิ้งไว้โดยไม่มีการแก้ไข ดังที่เราเห็นที่นี่ เมื่อได้รับ toehold แล้ว ผู้โจมตีจะสามารถรับข้อมูลประจำตัวของผู้ดูแลระบบและใช้มันเพื่อย้ายด้านข้างก่อนที่จะประนีประนอมทั้งโดเมนในที่สุด สิ่งนี้เน้นย้ำถึงความต้องการ ไอ้เวรตะไล ภายในเครือข่ายซึ่งขาดหายไปอย่างชัดเจนที่นี่ หวังว่าการขุด crypto เป็นเพียงผลลัพธ์เดียวของการโจมตีครั้งนี้และไม่มากไปกว่านั้น”
