Mit dem Iran verbundene Bedrohungsakteure kompromittieren das US Federal Security Affairs Network


Mit dem Iran verbundene Bedrohungsakteure haben eine zivile Exekutivorganisation des Bundes mithilfe eines Log4Shell-Exploits kompromittiert und Kryptomining-Malware installiert.

Laut einer gemeinsamen Empfehlung des FBI und der CISA hat eine mit dem Iran verbundene APT-Gruppe eine Organisation der Federal Civilian Executive Branch (FCEB) kompromittiert, indem sie einen Exploit für den Log4Shell-Fehler (CVE-2021-44228) verwendet und Kryptomining-Malware eingesetzt hat.

Log4Shell wirkt sich auf die Produkte mehrerer großer Unternehmen aus, die Log4j verwenden, aber bei vielen Angriffen wurde die Schwachstelle gegen betroffene VMware-Software ausgenutzt.

In diesem speziellen Fall hackten sich iranische Hacker in einen ungepatchten VMware Horizon-Server, um eine Remote-Code-Ausführung zu erreichen.

„CISA erhielt vier bösartige Dateien zur Analyse während eines Vor-Ort-Einsatzes zur Reaktion auf Vorfälle bei einer Organisation der Federal Civilian Executive Branch (FCEB), die von iranischen, von der Regierung geförderten Advanced Persistent Threat (APT)-Akteuren kompromittiert wurde.“ liest den von CISA veröffentlichten Malware Analysis Report (AR22-320A). Diese Dateien wurden als Varianten der Kryptowährungs-Mining-Software XMRIG identifiziert. Die Dateien enthalten einen Kernel-Treiber, zwei ausführbare Windows-Dateien und eine Konfigurationsdatei, um das Verhalten einer der ausführbaren Dateien im Netzwerk und auf dem infizierten Host zu steuern.

CISA führte zwischen Mitte Juni und Mitte Juli 2022 eine Mission zur Reaktion auf Vorfälle bei der betroffenen Organisation der Federal Civilian Executive Branch (FCEB) durch.

Regierungsexperten stellten fest, dass Angreifer nach der Installation des XMRig-Krypto-Miners einen seitlichen Schritt zum Domänencontroller (DC) durchführten, Anmeldeinformationen kompromittierten und dann Ngrok-Reverse-Proxys auf mehreren Hosts implantierten, um die Persistenz innerhalb des kompromittierten Netzwerks aufrechtzuerhalten.

„CISA und das Federal Bureau of Investigation (FBI) glauben, dass das FCEB-Netzwerk von von der iranischen Regierung unterstützten APT-Akteuren kompromittiert wurde.“ Lesen Sie die gemeinsame Stellungnahme. „CISA und das FBI veröffentlichen diesen Cyber ​​​​Security Advisory (CSA), der die Taktiken, Techniken und Verfahren (TTPs) und Indicators of Compromise (IOCs) von mutmaßlichen, von der iranischen Regierung unterstützten Akteuren bereitstellt, um Netzwerkverteidigern dabei zu helfen, Verwandte zu erkennen und sich davor zu schützen Kompromisse.“

CISA und das FBI ermutigen alle Organisationen, die anfällige VMware-Server betreiben, die Kompromittierung anzunehmen und Aktivitäten zur Bedrohungssuche einzuleiten.

Die Beitrittsempfehlung fordert Organisationen, die einen anfänglichen Zugriff oder eine Kompromittierung vermuten, dringend auf, die seitliche Bewegung von Bedrohungsakteuren zu übernehmen, verbundene Systeme (einschließlich DC) zu untersuchen und privilegierte Konten zu prüfen. Die Empfehlung enthält Empfehlungen zum Schutz vor ähnlichen böswilligen Cyberaktivitäten.

CISA und das FBI empfehlen:

  • Installieren Sie aktualisierte Versionen, um sicherzustellen, dass betroffene VMware Horizon- und UAG-Systeme auf die neueste Version aktualisiert werden.
  • Halten Sie die gesamte Software auf dem neuesten Stand und priorisieren Sie das Patchen bekannter ausgenutzter Schwachstellen (KEVs).
  • Minimieren Sie die Angriffsfläche gegenüber dem Internet.
  • Verwenden Sie Best Practices für das Identitäts- und Zugriffsmanagement (IAM).
  • Domänencontroller prüfen.
  • Erstellen Sie eine Ablehnungsliste bekannter kompromittierter Anmeldeinformationen.
  • Sichern Sie Anmeldeinformationen, indem Sie einschränken, wo Konten und Anmeldeinformationen verwendet werden können.

Im Juni gab die United States Cybersecurity and Infrastructure Security Agency (CISA) zusammen mit dem Coast Guard Cyber ​​​​Command (CGCYBER) eine gemeinsame Empfehlung heraus, um vor Hacking-Versuchen zu warnen, die das ausnutzen Log4Shell-Fehler in VMware Horizon-Servern, um Zielnetzwerke zu gefährden.

„CISA und das United States Coast Guard Cyber ​​​​Command (CGCYBER) haben ein gemeinsames Cyber ​​​​Security Advisory (CSA) herausgegeben, um Netzwerkverteidiger zu warnen, dass Cyber-Bedrohungsakteure, einschließlich Advanced Persistent Threat Actors (staatlich geförderte APTs), weiterhin ausnutzen CVE-2021. -44228 (Log4Shell) in VMware Horizon® Servers und Unified Access Gateway (UAG), um anfänglichen Zugriff auf Organisationen zu erhalten, die verfügbare Patches nicht angewendet haben. Lesen Sie die Rezension.

Der Fehler CVE-2021-44228 machte im Dezember Schlagzeilen, nachdem der chinesische Sicherheitsforscher p0rz9 einen Proof-of-Concept-Exploit für die Schwachstelle Critical Remote Code Execution (auch bekannt als Log4Shell) veröffentlicht hatte, die die Java-basierte Protokollierungsbibliothek Apache Log4j betrifft. .

Bei einem von Regierungsexperten dokumentierten Angriff konnten sich Bedrohungsakteure seitlich innerhalb des Netzwerks bewegen und sensible Daten sammeln und exfiltrieren.

Folge mir auf Twitter: @Sicherheitsfragen und Facebook und Mastodon

Pierluigi Paganini

(Sicherheitsfälle Hacking, Iran)





Blog In 2021 joker0o xyz

Add Comment