FBI dan CISA mengungkapkan dalam penasehat bersama yang diterbitkan hari ini bahwa kelompok ancaman yang didukung Iran yang tidak disebutkan namanya meretas organisasi Federal Civilian Executive Branch (FCEB) untuk menyebarkan malware XMRig cryptomining.
Penyerang mengkompromikan jaringan federal setelah meretas ke server VMware Horizon yang belum ditambal menggunakan eksploit yang menargetkan Log4Shell (CVE-2021-44228) kerentanan eksekusi kode jarak jauh.
Setelah menyebarkan penambang cryptocurrencyaktor ancaman Iran juga menyiapkan proxy terbalik di server yang dikompromikan untuk mempertahankan kegigihan dalam jaringan agensi FCEB.
“Dalam kegiatan respons insiden, CISA menetapkan bahwa pelaku ancaman dunia maya mengeksploitasi kerentanan Log4Shell di server VMware Horizon yang belum ditambal, memasang perangkat lunak penambangan kripto XMRig, berpindah secara lateral ke pengontrol domain (DC), mengkompromikan kredensial, dan kemudian menanamkan pembalikan Ngrok proxy pada beberapa host untuk mempertahankan kegigihan,” penasehat bersama membaca.
Dua agen federal AS menambahkan bahwa semua organisasi yang belum menambal sistem VMware mereka terhadap Log4Shell harus berasumsi bahwa mereka telah dilanggar dan menyarankan mereka untuk mulai mencari aktivitas berbahaya di dalam jaringan mereka.
CISA diperingatkan pada bulan Juni bahwa server VMware Horizon dan Unified Access Gateway (UAG) masih dimangsa oleh banyak pelaku ancaman, termasuk grup peretasan yang disponsori negara, menggunakan eksploitasi Log4Shell.
Log4Shell dapat dieksploitasi dari jarak jauh untuk menargetkan server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan yang dilanggar guna mengakses sistem internal yang menyimpan data sensitif.
Eksploitasi Log4Shell yang sedang berlangsung oleh peretas negara
Setelah pengungkapannya pada Desember 2021, banyak pelaku ancaman segera mulai memindai dan mengeksploitasi sistem dibiarkan tidak tertambal.
Daftar penyerang termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta pialang akses yang dikenal memiliki hubungan dekat dengan beberapa geng ransomware.
CISA juga menyarankan organisasi dengan server VMware yang rentan untuk berasumsi bahwa mereka telah dilanggar dan memulai aktivitas pencarian ancaman.
VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon mereka dari upaya serangan Log4Shell sesegera mungkin.
Sejak Januari, server VMware Horizon yang terpapar Internet telah diretas oleh pelaku ancaman berbahasa Mandarin untuk diterapkan Ransomware langit malamLazarus APT Korea Utara ke menyebarkan pencuri informasidan grup peretasan TunnelVision yang selaras dengan Iran menyebarkan pintu belakang.
Dalam penasehat hari ini, CISA dan FBI sangat disarankan organisasi untuk menerapkan tindakan mitigasi dan defensif yang direkomendasikan, termasuk:
- Memperbarui sistem VMware Horizon dan gerbang akses terpadu (UAG) yang terpengaruh ke versi terbaru.
- Meminimalkan permukaan serangan yang menghadap internet organisasi Anda.
- Menjalankan, menguji, dan memvalidasi program keamanan organisasi Anda terhadap perilaku ancaman yang dipetakan ke kerangka MITRE ATT&CK for Enterprise di CSA.
- Menguji kontrol keamanan yang ada di organisasi Anda terhadap teknik ATT&CK dijelaskan dalam penyuluhan.
