伊朗黑客利用Log4Shell漏洞入侵美国联邦机构

2022年11月18日12:01:49评论58 views字数 1046阅读3分29秒阅读模式

美国联邦调查局和CISA在11月16日发布的联合公告中透露，一个未命名的伊朗支持的威胁组织入侵了美国联邦民事行政部门（FCEB）组织，以部署XMRig加密恶意软件。

攻击者使用针对Log4Shell （CVE-2021-44228） 远程代码执行漏洞的攻击方式，在入侵了未修补的 VMware Horizon 服务器后进而入侵美国联邦网络。

联合公告中写道：“在事件响应活动过程中，CISA确定网络威胁行为者利用未修补的VMware Horizon服务器中的Log4Shell漏洞，安装XMRig加密挖掘软件，横向移动到域控制器（DC），破坏凭据，然后在多个主机上植入Ngrok反向代理以保持持久性，”

这两个美国联邦机构还补充说：“所有尚未针对Log4Shell修补VMware系统的组织都应该假设他们已经遭到破坏，并建议他们开始在其网络中寻找恶意活动。”

CISA也在六月份警告说：“VMware Horizon和Unified Access Gateway（UAG）服务器仍然受到多个威胁行为者的攻击，包括国家支持的黑客组织，使用Log4Shell漏洞开展攻击。”

Log4Shell 可以被远程利用，以暴露在本地或 Internet 访问下的易受攻击的服务器为目标，在被破坏的网络之间横向移动，以访问存储敏感数据的内部系统。

国家黑客正在进行的Log4Shell利用

自从 2021 年 12 月披露后，多个威胁行为者几乎立即开始扫描和利用未修补的系统。

攻击者名单包括来自伊朗、朝鲜和土耳其的国家支持的黑客组织，以及与一些勒索软件团伙关系密切而闻名的访问经纪人。

根据此类情况，CISA建议拥有易受攻击的VMware服务器的组织做好他们已遭到破坏的假设并启动威胁搜寻活动。VMware也在一月份敦促客户尽快保护其VMware Horizon服务器免受Log4Shell攻击。

在今天的公告中，CISA和FBI更是进一步建议组织应用建议的缓解和防御措施，包括：

1、将受影响的 VMware Horizon 和统一接入网关（UAG）系统更新到最新版本。

2、最大程度地减少组织面向 Internet 的攻击面。

3、针对映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威胁行为，执行、测试和验证组织的安全计划。

4、根据公告中所述的 ATT&CK 技术测试组织的现有安全控制。

注：本文由E安全编译报道，转载请联系授权并注明来源

长按添加关注，为您保驾护航！

原文始发于微信公众号（网安百色）：伊朗黑客利用Log4Shell漏洞入侵美国联邦机构

Forrester：2024年五大网络安全新威胁