当地时间16日,美国联邦调查局和CISA在联合公告中透露,一个未具名的伊朗支持的威胁组织入侵了联邦民事行政部门(FCEB)组织,以部署XMRig加密恶意软件。
据悉,攻击者利用Log4Shell (CVE-2021-44228) 远程代码执行漏洞,通过漏洞攻击未打补丁的 VMware Horizon 服务器后,入侵了联邦网络。不仅在受攻击设备上部署加密货币旷工,还在受感染的服务器上设置反向代理,以维持 FCEB 机构网络内的持久性。
公告中,CISA强调确定网络威胁行为者利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞,安装 XMRig 加密挖掘软件,横向移动到域控制器 (DC),破坏凭据,然后反向植入 Ngrok多个主机上的代理以保持持久性。[阅读原文]