美国FBI与网络安全与基础设施安全局(CISA)日前发布一份联合报告称,某个由伊朗支持的未具名威胁组织入侵了一个联邦民事行政部门组织,并部署了XMRig加密货币挖矿恶意软件

攻击者利用的是未安装Log4Shell(CVE-2021-44228)远程代码执行漏洞补丁的VMware Horizon服务器,抓住机会成功入侵了联邦网络。

在部署加密货币挖矿程序后,这批伊朗恶意黑客还在被感染的服务器上设置了反向代理,希望能在该机构网络内持久驻留

这份联合咨询报告写道,“在事件响应过程中,CISA确定了恶意黑客利用的是未经修复的VMware Horizon服务器内的Log4Shell漏洞、安装了XMRig加密货币挖矿软件、横向移动至域控制器(DC)、夺取凭证,而后在多台主机上植入了Ngrok反向代理以期持久驻留。”

FBI和CISA还补充称,所有尚未对VMware系统安装Log4Shell补丁的组织都应假设其已遭利用,并建议各方主动在网络中寻找恶意活动的踪迹

CISA曾于今年6月警告称,VMware Horizon及统一访问网关(UAG)服务器中的Log4Shell漏洞仍面临着多方恶意黑客的攻击,包括国家支持的黑客团伙。

一旦遭受远程利用,Log4Shell漏洞会导致服务器暴露在本地或互联网访问之下,恶意黑客将可进一步在入侵网络内横向移动、访问存储敏感数据的其他内部系统。

 

国家支持黑客正加紧利用Log4Shell漏洞

 

自2021年12月披露之后,已经有多方恶意黑客几乎立即开始扫描并利用这些未安装Log4Shell补丁的系统

攻击者包括受到伊朗、朝鲜和土耳其等国家支持的黑客团伙,以及与各勒索软件团伙关系密切的访问代理。

CISA建议各拥有易受攻击VMware服务器的组织做好最坏打算,假定其已遭入侵并采取威胁搜寻行动。

VMware方面也在今年1月敦促客户尽快安装补丁,保护其VMware Horizon服务器免受Log4Shell攻击影响。

自今年1月以来,暴露在互联网上的VMware Horizon服务器已先后被使用中文的恶意黑客部署了Night Sky勒索软件、被来自朝鲜的Lazarus APT组织部署了信息窃取程序,并被作为伊朗盟友的TunnelVision黑客团伙部署了后门程序。

在此次联合咨询中,CISA和FBI强烈建议各组织采取建议的缓解与防御措施,具体包括:

  • 将受影响的VMware Horizon和统一访问网关(UAG)系统更新至最新版本。

  • 最小化组织面向互联网的攻击面。

  • 根据云安全联盟(CSA)MITRE ATT&CK企业版框架中列出的威胁行为,执行、测试并验证所在组织的安全程序。

  • 根据公告中提及的ATT&CK技术,测试您组织的现有安全控制成效。

参考资料:bleepingcomputer.com