ΑρχικήSecurityCISA: Ιρανοί hackers παραβίασαν οργανισμό με Log4Shell exploit

CISA: Ιρανοί hackers παραβίασαν οργανισμό με Log4Shell exploit

Σύμφωνα με την CISA, Ιρανοί hackers παραβίασαν ομοσπονδιακό οργανισμό των ΗΠΑ χρησιμοποιώντας Log4Shell exploit.

Log4Shell CISA

Το FBI και η CISA δήλωσαν ότι μια ανώνυμη ομάδα απειλών με έδρα το Ιράν εισέβαλε σε έναν ομοσπονδιακό οργανισμό (Federal Civilian Executive Branch – FCEB) για να αναπτύξει το cryptomining malware XMRig.

Η CISA δεν κατονόμασε την παραβιασμένη υπηρεσία FCEB, αλλά αυτοί οι οργανισμοί περιλαμβάνουν το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Οικονομικών και την Ομοσπονδιακή Επιτροπή Εμπορίου κλπ.

Οι hackers εισέβαλαν στο ομοσπονδιακό δίκτυο χακάροντας έναν μη ενημερωμένο VMware Horizon server. Αυτό έγινε με τη χρήση exploit που στόχευσε την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα CVE-2021-44228, γνωστή και ως Log4Shell.

#secnews #solarstorm #hurricane 

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook:  https://www.facebook.com/SecNews 
Instagram:  https://www.instagram.com/secnews.gr/  
X (Twitter):   https://twitter.com/Secnews_GR
TikTok:    https://www.tiktok.com/@secnewsgr

#secnews #solarstorm #hurricane

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα. Σοβαρές συνθήκες ηλιακής καταιγίδας θα μπορούσαν να παρεμποδίσουν τις συνεχιζόμενες προσπάθειες ανάκαμψης για τους τυφώνες Helene και Milton, διακόπτοντας τις δορυφορικές επικοινωνίες, τα δίκτυα ηλεκτρικής ενέργειας και τις υπηρεσίες GPS, προειδοποίησε την Πέμπτη το Διαστημικό Κέντρο Πρόβλεψης Καιρού των ΗΠΑ. Μια στεμματική εκπομπή μάζας (CME) έπληξε τη Γη σήμερα το πρωί στις 11:17 π.μ., διαταράσσοντας το μαγνητικό πεδίο της Γης και επιτυγχάνοντας συνθήκες γεωμαγνητικής καταιγίδας G4 (σοβαρή) στις 12:57 μ.μ., ανέφερε το πρακτορείο.

00:00 Εισαγωγή
00:19 Προβλήματα ηλιακής καταιγίδας
01:15 Όλεθρος στη μαγνητόσφαιρα
01:47 Ηλιακές καταιγίδες Μαΐου

Μάθετε περισσότερα: https://www.secnews.gr/624672/iliaki-kataigida-mporei-epireasei-anakampsi-apo-tifona/

Follow us:
Facebook: https://www.facebook.com/SecNews
Instagram: https://www.instagram.com/secnews.gr/
X (Twitter): https://twitter.com/Secnews_GR
TikTok: https://www.tiktok.com/@secnewsgr

0

YouTube Video VVVDWG45SzRBbWhLQjFZMjNHbjY5YWV3Lmg4VGJwLS1OZnFR

Ηλιακή καταιγίδα ίσως επηρεάσει την ανάκαμψη από τον τυφώνα

SecNewsTV 2 hours ago

Δείτε επίσης: Lazarus hackers: Στοχεύουν Ευρώπη και ΗΠΑ με DTrack backdoor

Οι Ιρανοί hackers ανέπτυξαν το cryptomining malware XMRig και παράλληλα εγκατέστησαν reverse proxies για να παραμείνουν κρυμμένοι στο δίκτυο του οργανισμού (persistence).

Κατά τη διάρκεια των δραστηριοτήτων αντιμετώπισης του περιστατικού, η CISA διαπίστωσε ότι οι φορείς απειλών εκμεταλλεύτηκαν την ευπάθεια Log4Shell σε έναν μη ενημερωμένο VMware Horizon server, εγκατέστησαν το cryptomining malware XMRig, μετακινήθηκαν laterally στο domain controller (DC), παραβίασαν credentials και στη συνέχεια “εμφύτευσαν” Ngrok reverse proxies σε πολλούς hosts για να διατηρηθεί το persistence“, αναφέρει η δήλωση των FBI και CISA.

Οι δύο ομοσπονδιακές υπηρεσίες των ΗΠΑ ανέφεραν ότι όσοι οργανισμοί δεν έχουν ακόμη ενημερώσει τα συστήματα VMware για να αντιμετωπίσουν την ευπάθεια Log4Shell, μπορούν να υποθέσουν ότι μπορεί να έχουν ήδη παραβιαστεί από Ιρανούς ή άλλους hackers. Οι υπηρεσίες συνιστούν σε αυτούς τους οργανισμούς να αρχίσουν να αναζητούν κακόβουλη δραστηριότητα στα δίκτυά τους.

Η CISA εξέδωσε προειδοποίηση τον Ιούνιο ότι οι VMware Horizon και Unified Access Gateway (UAG) servers συνεχίζουν να αποτελούν στόχο διαφόρων κυβερνοεγκληματιών, συμπεριλαμβανομένων κρατικών ομάδων χάκερ, που εκμεταλλεύονται την ευπάθεια Log4Shell.

Δείτε επίσης: Twitter: Μπορεί σύντομα να φέρει end-to-end encryption στα DM

Εκμεταλλευόμενοι το Log4Shell από απόσταση, οι εγκληματίες του κυβερνοχώρου μπορούν να στοχεύουν ευάλωτους servers που είναι εκτεθειμένοι, να μετακινούνται μέσα σε παραβιασμένα δίκτυα και να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα που αποθηκεύουν ευαίσθητα δεδομένα.

Ιρανοί hackers

Δεν είναι σαφές για ποιον λόγο οι Ιρανοί hackers στόχευσαν την ομοσπονδιακή υπηρεσία των ΗΠΑ. Η ευρεία πρόσβαση στο δίκτυο ενός οργανισμού μπορεί να χρησιμοποιηθεί τόσο για κατασκοπεία όσο και για πραγματοποίηση καταστροφικών επιθέσεων.

Εκμετάλλευση της ευπάθειας Log4Shell από κρατικούς hackers

Μετά την αποκάλυψη της ευπάθειας τον Δεκέμβριο του 2021, διάφορες ομάδες άρχισαν να στοχεύουν ευάλωτες συσκευές. Η Log4Shell είναι μια κρίσιμη ευπάθεια που εντοπίζεται στην Apache Log4j Java-based logging πλατφόρμα. Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να εκτελούν εξ αποστάσεως μια εντολή σε έναν ευάλωτο server.

Πέρα από τους Ιρανούς hackers που αξιοποίησαν τώρα την ευπάθεια, υπάρχουν και άλλες κρατικές hacking ομάδες που έχουν χρησιμοποιήσει το σφάλμα (από την Κίνα, το Ιράν, τη Βόρεια Κορέα και την Τουρκία, καθώς και access brokers που έχουν σχέσεις με ορισμένες συμμορίες ransomware).

Η CISA είχε πει τότε, ότι εάν ένας οργανισμός διαθέτει έναν ευάλωτο VMware server, πρέπει να υποθέσει ότι έχει ήδη παραβιαστεί και να ξεκινήσει δραστηριότητες αναζήτησης απειλών.

Τον Ιανουάριο, η VMware προέτρεψε επίσης τους πελάτες να ασφαλίσουν τους διακομιστές τους έναντι των προσπαθειών επίθεσης Log4Shell το συντομότερο δυνατό.

Δείτε επίσης: Εξαρθρώθηκε πειρατικό δίκτυο TV streaming: Βρέθηκαν μεταπωλητές σε Ελλάδα και Κύπρο

Από την αρχή του έτους, εκτεθειμένοι VMware Horizon servers έχουν παραβιαστεί από Κινέζους φορείς απειλών για την ανάπτυξη του Night Sky ransomware, από τη βορειοκορεατική APT Lazarus για την ανάπτυξη info-stealers και από την ιρανική ομάδα TunnelVision για την ανάπτυξη backdoors.

Στη σημερινή συμβουλευτική σχετικά με τους Ιρανούς hackers, η CISA και το FBI προειδοποίησαν τους οργανισμούς να εφαρμόσουν τα προτεινόμενα μέτρα ασφαλείας, όπως:

  • Ενημέρωση επηρεαζόμενων συστημάτων VMware Horizon και unified access gateway (UAG) στην πιο πρόσφατη έκδοση.
  • Ελαχιστοποίηση του attack surface του οργανισμού στο διαδίκτυο.
  • Δοκιμή και επικύρωση του προγράμματος ασφαλείας του οργανισμού έναντι των συμπεριφορών απειλής που έχουν αντιστοιχιστεί στο MITRE ATT&CK for Enterprise framework στο CSA.
  • Δοκιμή των υφιστάμενων ελέγχων ασφαλείας του οργανισμού έναντι των τεχνικών ATT&CK που περιγράφονται στο advisory.

Πηγή: www.bleepingcomputer.com

Digital Fortress
Digital Fortresshttps://www.secnews.gr
Pursue Your Dreams & Live!
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS