С ее помощью неизвестная иранская APT-группировка взломала сервер федерального агентства США.
Иранская APT-группировка получила доступ к серверу федерального агентства США, используя печально известную Log4Shell. Эксперты предполагают, что хакерская операция началась в феврале 2022 года, после чего была раскрыта CISA два месяца спустя.
Согласно совместному отчету , опубликованному CISA и ФБР, хакеры воспользовались Log4Shell, чтобы проникнуть на уязвимый сервер VMware Horizon, после чего развернули на нем криптомайнер XMRig. Затем злоумышленники переместились на контроллер домена, скомпрометировали учетные данные и внедрили сервис Ngrok на несколько хостов, чтобы закрепиться в системе.
Ngrok – это сервис, который позволяет открыть доступ к внутренним ресурсам машины, на которой он запущен, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт.
Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).
Кроме того, в отчете CISA и ФБР призвали все организации с потенциально уязвимыми системами VMware немедленно применить все доступные обновления или обходные пути, задуматься о возможной компрометации и просканировать системы на вредоносное ПО и следы взлома.
Собираем и анализируем опыт профессионалов ИБ