С середины июня по середину июля 2022 года CISA проводила мероприятия по реагированию на инциденты в федеральной гражданской организации исполнительной власти (FCEB), где CISA наблюдала предполагаемую деятельность передовых постоянных угроз (APT). В ходе мероприятий по реагированию на инцидент CISA установила, что субъекты киберугрозы использовали уязвимость Log4Shell в непропатченном сервере VMware Horizon, установили программное обеспечение для добычи криптовалюты XMRig, переместились на контроллер домена (DC), скомпрометировали учетные данные, а затем внедрили обратные прокси-серверы Ngrok на нескольких узлах для поддержания устойчивости. CISA и Федеральное бюро расследований (ФБР) считают, что сеть FCEB была взломана APT-актерами, спонсируемыми иранским правительством.
CISA и ФБР призывают все организации с затронутыми системами VMware, которые не применили немедленно доступные исправления или обходные пути, предположить компрометацию и начать поиск угроз. При обнаружении предполагаемого первоначального доступа или компрометации на основе МОК или ТТП, описанных в данном CSA, CISA и ФБР рекомендуют организациям предположить боковое перемещение субъектов угрозы, исследовать подключенные системы (включая DC) и провести аудит привилегированных учетных записей. Все организации, независимо от выявленных признаков компрометации, должны применять рекомендации в разделе "Смягчающие меры" данного CSA для защиты от аналогичной злонамеренной кибер-активности.
Indicators of Compromise
SHA256
- 0663d70411a20340f184ae3b47138b33ac398c800920e4d976ae609b60522b01
- 2ffe6509d965413d20ae859a4b4878246119159c368c945a7b466435b4e6e6df
- 673ebada19e044b1ddb88155ad99188ba403cbb413868877b3ce0af11617bcfb
- 6abbd3198690a7c98eca505bae8e160b2ddc77cc02d06a2409d5a1c0e4aabc2b
- 858c3d04334298398c0792520b0b752c0ecbb4e991fe1f48003d89272daace8d
- b511c0f45d2a1def0985fa631d1a6df5f754bc7c5f53105cc97c247b97ff0f56