可用-黑客

伊朗黑客利用 Log4Shell 漏洞入侵美国联邦机构

  • 浏览次数 14990
  • 喜欢 0
  • 评分 12345

美国联邦调查局和CISA在11月16日发布的联合公告中透露,一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门(FCEB)组织,以部署XMRig加密恶意软件。

攻击者使用针对Log4Shell (CVE-2021-44228) 远程代码执行漏洞的攻击方式,在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。

640

联合公告中写道:“在事件响应活动过程中,CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞,安装XMRig加密挖掘软件,横向移动到域控制器(DC),破坏凭据,然后在多个主机上植入Ngrok反向代理以保持持久性,”

这两个美国联邦机构还补充说:“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏,并建议他们开始在其网络中寻找恶意活动。”

CISA也在六月份警告说:“VMware Horizon和Unified Access Gateway(UAG)服务器仍然受到多个威胁行为者的攻击,包括国家支持的黑客组织,使用Log4Shell漏洞开展攻击。”

Log4Shell 可以被远程利用,以暴露在本地或 Internet 访问下的易受攻击的服务器为目标,在被破坏的网络之间横向移动,以访问存储敏感数据的内部系统。

国家黑客正在进行的Log4Shell利用

自从 2021 年 12 月披露后,多个威胁行为者几乎立即开始扫描和利用未修补的系统。

攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织,以及与一些勒索软件团伙关系密切而闻名的访问经纪人。

根据此类情况,CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。

在今天的公告中,CISA和FBI更是进一步建议组织应用建议的缓解和防御措施,包括:

1、将受影响的 VMware Horizon 和统一接入网关 (UAG) 系统更新到最新版本。

2、最大程度地减少组织面向 Internet 的攻击面。

3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为,执行、测试和验证组织的安全计划。

4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。


转自 E安全,原文链接:https://mp.weixin.qq.com/s/TAv7j9MctreutCUoog6Qmw

封面来源于网络,如有侵权请联系删除