Σύμφωνα με την CISA, Ιρανοί hackers παραβίασαν ομοσπονδιακό οργανισμό των ΗΠΑ χρησιμοποιώντας Log4Shell exploit.
Το FBI και η CISA δήλωσαν ότι μια ανώνυμη ομάδα απειλών με έδρα το Ιράν εισέβαλε σε έναν ομοσπονδιακό οργανισμό (Federal Civilian Executive Branch – FCEB) για να αναπτύξει το cryptomining malware XMRig.
Η CISA δεν κατονόμασε την παραβιασμένη υπηρεσία FCEB, αλλά αυτοί οι οργανισμοί περιλαμβάνουν το Υπουργείο Εσωτερικής Ασφάλειας, το Υπουργείο Οικονομικών και την Ομοσπονδιακή Επιτροπή Εμπορίου κλπ.
Οι hackers εισέβαλαν στο ομοσπονδιακό δίκτυο χακάροντας έναν μη ενημερωμένο VMware Horizon server. Αυτό έγινε με τη χρήση exploit που στόχευσε την ευπάθεια απομακρυσμένης εκτέλεσης κώδικα CVE-2021-44228, γνωστή και ως Log4Shell.
Δείτε επίσης: Lazarus hackers: Στοχεύουν Ευρώπη και ΗΠΑ με DTrack backdoor
Οι Ιρανοί hackers ανέπτυξαν το cryptomining malware XMRig και παράλληλα εγκατέστησαν reverse proxies για να παραμείνουν κρυμμένοι στο δίκτυο του οργανισμού (persistence).
“Κατά τη διάρκεια των δραστηριοτήτων αντιμετώπισης του περιστατικού, η CISA διαπίστωσε ότι οι φορείς απειλών εκμεταλλεύτηκαν την ευπάθεια Log4Shell σε έναν μη ενημερωμένο VMware Horizon server, εγκατέστησαν το cryptomining malware XMRig, μετακινήθηκαν laterally στο domain controller (DC), παραβίασαν credentials και στη συνέχεια “εμφύτευσαν” Ngrok reverse proxies σε πολλούς hosts για να διατηρηθεί το persistence“, αναφέρει η δήλωση των FBI και CISA.
Οι δύο ομοσπονδιακές υπηρεσίες των ΗΠΑ ανέφεραν ότι όσοι οργανισμοί δεν έχουν ακόμη ενημερώσει τα συστήματα VMware για να αντιμετωπίσουν την ευπάθεια Log4Shell, μπορούν να υποθέσουν ότι μπορεί να έχουν ήδη παραβιαστεί από Ιρανούς ή άλλους hackers. Οι υπηρεσίες συνιστούν σε αυτούς τους οργανισμούς να αρχίσουν να αναζητούν κακόβουλη δραστηριότητα στα δίκτυά τους.
Η CISA εξέδωσε προειδοποίηση τον Ιούνιο ότι οι VMware Horizon και Unified Access Gateway (UAG) servers συνεχίζουν να αποτελούν στόχο διαφόρων κυβερνοεγκληματιών, συμπεριλαμβανομένων κρατικών ομάδων χάκερ, που εκμεταλλεύονται την ευπάθεια Log4Shell.
Δείτε επίσης: Twitter: Μπορεί σύντομα να φέρει end-to-end encryption στα DM
Εκμεταλλευόμενοι το Log4Shell από απόσταση, οι εγκληματίες του κυβερνοχώρου μπορούν να στοχεύουν ευάλωτους servers που είναι εκτεθειμένοι, να μετακινούνται μέσα σε παραβιασμένα δίκτυα και να αποκτήσουν πρόσβαση σε εσωτερικά συστήματα που αποθηκεύουν ευαίσθητα δεδομένα.
Δεν είναι σαφές για ποιον λόγο οι Ιρανοί hackers στόχευσαν την ομοσπονδιακή υπηρεσία των ΗΠΑ. Η ευρεία πρόσβαση στο δίκτυο ενός οργανισμού μπορεί να χρησιμοποιηθεί τόσο για κατασκοπεία όσο και για πραγματοποίηση καταστροφικών επιθέσεων.
Εκμετάλλευση της ευπάθειας Log4Shell από κρατικούς hackers
Μετά την αποκάλυψη της ευπάθειας τον Δεκέμβριο του 2021, διάφορες ομάδες άρχισαν να στοχεύουν ευάλωτες συσκευές. Η Log4Shell είναι μια κρίσιμη ευπάθεια που εντοπίζεται στην Apache Log4j Java-based logging πλατφόρμα. Αυτή η ευπάθεια επιτρέπει στους επιτιθέμενους να εκτελούν εξ αποστάσεως μια εντολή σε έναν ευάλωτο server.
Πέρα από τους Ιρανούς hackers που αξιοποίησαν τώρα την ευπάθεια, υπάρχουν και άλλες κρατικές hacking ομάδες που έχουν χρησιμοποιήσει το σφάλμα (από την Κίνα, το Ιράν, τη Βόρεια Κορέα και την Τουρκία, καθώς και access brokers που έχουν σχέσεις με ορισμένες συμμορίες ransomware).
Η CISA είχε πει τότε, ότι εάν ένας οργανισμός διαθέτει έναν ευάλωτο VMware server, πρέπει να υποθέσει ότι έχει ήδη παραβιαστεί και να ξεκινήσει δραστηριότητες αναζήτησης απειλών.
Τον Ιανουάριο, η VMware προέτρεψε επίσης τους πελάτες να ασφαλίσουν τους διακομιστές τους έναντι των προσπαθειών επίθεσης Log4Shell το συντομότερο δυνατό.
Δείτε επίσης: Εξαρθρώθηκε πειρατικό δίκτυο TV streaming: Βρέθηκαν μεταπωλητές σε Ελλάδα και Κύπρο
Από την αρχή του έτους, εκτεθειμένοι VMware Horizon servers έχουν παραβιαστεί από Κινέζους φορείς απειλών για την ανάπτυξη του Night Sky ransomware, από τη βορειοκορεατική APT Lazarus για την ανάπτυξη info-stealers και από την ιρανική ομάδα TunnelVision για την ανάπτυξη backdoors.
Στη σημερινή συμβουλευτική σχετικά με τους Ιρανούς hackers, η CISA και το FBI προειδοποίησαν τους οργανισμούς να εφαρμόσουν τα προτεινόμενα μέτρα ασφαλείας, όπως:
- Ενημέρωση επηρεαζόμενων συστημάτων VMware Horizon και unified access gateway (UAG) στην πιο πρόσφατη έκδοση.
- Ελαχιστοποίηση του attack surface του οργανισμού στο διαδίκτυο.
- Δοκιμή και επικύρωση του προγράμματος ασφαλείας του οργανισμού έναντι των συμπεριφορών απειλής που έχουν αντιστοιχιστεί στο MITRE ATT&CK for Enterprise framework στο CSA.
- Δοκιμή των υφιστάμενων ελέγχων ασφαλείας του οργανισμού έναντι των τεχνικών ATT&CK που περιγράφονται στο advisory.
Πηγή: www.bleepingcomputer.com