Агентство по кибербезопасности и защите инфраструктуры (CISA) и Киберкомандование Береговой охраны США (CGCYBER) выпускают это совместное информационное сообщение по кибербезопасности (CSA), чтобы предупредить, что субъекты киберугроз, включая спонсируемые государством субъекты современных постоянных угроз (APT), продолжают использовать CVE-2021-44228 (Log4Shell) в серверах VMware Horizon® и Unified Access Gateway (UAG) для получения первоначального доступа к организациям, которые не применили доступные исправления или обходные пути.
С декабря 2021 года многочисленные группы эксплуатировали Log4Shell на серверах VMware Horizon и UAG без исправлений, предназначенных для публичного доступа. В рамках этой эксплуатации предполагаемые субъекты APT внедряли на взломанные системы вредоносное ПО-загрузчик со встроенными исполняемыми файлами, позволяющими удаленно командовать и управлять (C2). В одном из подтвержденных случаев взлома эти субъекты APT смогли продвинуться в сети вбок, получить доступ к сети аварийного восстановления, собрать и вывести конфиденциальные данные.
Indicators of Compromise
IPv4
- 104.155.149.103
- 104.223.34.198
- 109.248.150.13
- 92.222.241.76
IPv4 Port Combinations
- 104.223.34.198:443
- 192.95.20.8:80