Иранские хакеры взломали агентство правительства США и запустили криптомайнер

Иранские хакеры взломали агентство правительства США и запустили криптомайнер

18 ноября 2022 г.

Неназванной группе хакеров, спонсируемой иранским государством, удалось взломать конечные точки, принадлежащие американскому Федеральная гражданская исполнительная власть (FCEB) и использовала ее доступ для развертывания майнера криптовалюты.

Агентство по кибербезопасности и инфраструктуре (CISA) опубликовал результаты ранее на этой неделе. Согласно его отчету, CISA была привлечена в середине июня для расследования подозрений в активности продвинутых постоянных угроз (APT).

После месячного расследования, завершившегося в июле 2022 года, агентство пришло к выводу, что спонсируемому иранским государством злоумышленнику удалось скомпрометировать неисправленный сервер VMware Horizon, используя печально известную уязвимость log4j, Log4Shell.

Исправление систем VMware

Группа использовала доступ для установки XMRig, известного майнера криптовалюты, который использует вычислительную мощность устройства для генерации Monero, криптовалюты, ориентированной на конфиденциальность, которую практически невозможно отследить.

Актеры также переместились. на контроллер домена (DC), скомпрометировал учетные данные, а затем внедрил обратные прокси-серверы Ngrok на несколько хостов, чтобы обеспечить постоянство в сети.

После публикации этих результатов CISA вместе с ФБР призвало все организации с аналогичными системами VMware немедленно применить доступные исправления или загрузить известные обходные пути.

Всем организациям с затронутыми системами VMware было приказано «допустить компрометацию» и начать поиск угроз.

«Если обнаружены подозрения на первоначальный доступ или компрометация на основе IOC или TTP, описанных в этом CSA, CISA и ФБР рекомендует организациям допускать боковое перемещение злоумышленников, исследовать подключенные системы (включая DC) и проверять привилегированные учетные записи», — говорится в объявлении.

«Все организации, независимо от выявленных признаков компрометации, должны применять рекомендации из раздела «Смягчение последствий» этого CSA для защиты от подобных злонамеренных действий в киберпространстве».

Log4Shell, который был первым Обнаруженная в конце прошлого года, директор CISA Джен Истерли описала ее как «одну из самых серьезных, если не самую серьезную» уязвимость, с которой она когда-либо сталкивалась.

PREVIOUS ARTICLE
NEXT ARTICLE