US: Hackers iraníes violaron la agencia federal utilizando el exploit Log4Shell

No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

El FBI y CISA revelaron en un aviso conjunto publicado hoy que un grupo de amenazas no identificado respaldado por Irán pirateó una organización del Poder Ejecutivo Civil Federal (FCEB) para implementar malware de criptominería XMRig.

Los atacantes comprometieron la red federal después de piratear un servidor VMware Horizon sin parches utilizando un exploit dirigido a la vulnerabilidad de ejecución remota de código Log4Shell (CVE-2021-44228).

Después de implementar el minero de criptomonedas, los actores de amenazas iraníes también configuraron proxies inversos en servidores comprometidos para mantener la persistencia dentro de la red de la agencia FCEB.

"En el curso de las actividades de respuesta a incidentes, CISA determinó que los actores de amenazas cibernéticas explotaron la vulnerabilidad de Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominería XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron Ngrok inversa proxies en varios hosts para mantener la persistencia", dice el aviso conjunto.

Las dos agencias federales de EE. UU. agregaron que todas las organizaciones que aún no hayan parcheado sus sistemas VMware contra Log4Shell deben asumir que ya han sido violados y recomendarles que comiencen a buscar actividad maliciosa dentro de sus redes.

CISA advirtió en junio que los servidores VMware Horizon y Unified Access Gateway (UAG) todavía están siendo atacados por múltiples actores de amenazas, incluidos los grupos de piratería patrocinados por el estado, que utilizan las vulnerabilidades de Log4Shell.

Log4Shell se puede explotar de forma remota para apuntar a servidores vulnerables expuestos al acceso local o a Internet para moverse lateralmente a través de redes violadas para acceder a sistemas internos que almacenan datos confidenciales.

Explotación continua de Log4Shell

Después de su divulgación en diciembre de 2021, varios actores de amenazas comenzaron casi de inmediato a buscar y explotar los sistemas que quedaron sin parchear.

La lista de atacantes incluye grupos de piratería respaldados por el estado de China, Irán, Corea del Norte y Turquía, así como corredores de acceso conocidos por sus estrechos vínculos con algunas bandas de ransomware.

CISA también aconsejó a las organizaciones con servidores VMware vulnerables que asuman que fueron violados e inicien actividades de búsqueda de amenazas.

VMware también instó a los clientes en enero a proteger sus servidores VMware Horizon contra los intentos de ataque de Log4Shell lo antes posible.

Desde enero, los servidores VMware Horizon expuestos a Internet han sido pirateados por actores de amenazas de habla china para implementar el ransomware Night Sky, el APT norcoreano Lazarus para implementar ladrones de información y el grupo de piratería TunnelVision alineado con Irán para implementar puertas traseras.

En el aviso de hoy, CISA y el FBI recomendaron encarecidamente a las organizaciones que aplicaran las mitigaciones y medidas defensivas recomendadas, que incluyen:

    Actualización de los sistemas VMware Horizon y Unified Access Gateway (UAG) afectados a la versión más reciente.

    Minimizar la superficie de ataque orientada a Internet de su organización.

    Ejercer, probar y validar el programa de seguridad de su organización frente a los comportamientos de amenazas asignados al marco MITRE ATT&CK for Enterprise en CSA.

    Probar los controles de seguridad existentes de su organización contra las técnicas de ATT&CK descritas en el aviso.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta