Log4Shell остается грозным оружием в руках иранских киберпреступников

Чт 17 Ноябрь 2022 12:54

Иранская APT-группировка получила доступ к серверу федерального агентства США, используя печально известную Log4Shell. Эксперты предполагают, что хакерская операция началась в феврале 2022 года, после чего была раскрыта CISA два месяца спустя.

Согласно совместному отчету , опубликованному CISA и ФБР, хакеры воспользовались Log4Shell, чтобы проникнуть на уязвимый сервер VMware Horizon, после чего развернули на нем криптомайнер XMRig. Затем злоумышленники переместились на контроллер домена, скомпрометировали учетные данные и внедрили сервис Ngrok на несколько хостов, чтобы закрепиться в системе.

Ngrok – это сервис, который позволяет открыть доступ к внутренним ресурсам машины, на которой он запущен, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт.

Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).

Кроме того, в отчете CISA и ФБР призвали все организации с потенциально уязвимыми системами VMware немедленно применить все доступные обновления или обходные пути, задуматься о возможной компрометации и просканировать системы на вредоносное ПО и следы взлома.

Статья уведена с www.securitylab.ru.

NetLan.ru жив уже 16 лет 255 дней 13 часов 21 минута 41 секунда
СМК NetLan (Nettlesome Landloper) — некоммерческий интернет-ресурс.
Весь данный интернет-ресурс и всё созданное или размещённое на нём используется в личных целях.