Новости Log4Shell остается грозным оружием в руках иранских киберпреступников

[NewsMaker]

С ее помощью неизвестная иранская APT-группировка взломала сервер федерального агентства США.​

---

---

Иранская Log4Shell . Эксперты предполагают, что хакерская операция началась в феврале 2022 года, после чего была раскрыта CISA два месяца спустя.

Согласно совместному Для просмотра ссылки Войди или Зарегистрируйся , опубликованному CISA и ФБР, хакеры воспользовались Log4Shell, чтобы проникнуть на уязвимый сервер VMware Horizon, после чего развернули на нем криптомайнер XMRig. Затем злоумышленники переместились на контроллер домена, скомпрометировали учетные данные и внедрили сервис Ngrok на несколько хостов, чтобы закрепиться в системе.

Ngrok – это сервис, который позволяет открыть доступ к внутренним ресурсам машины, на которой он запущен, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт.

Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).

Кроме того, в отчете CISA и ФБР призвали все организации с потенциально уязвимыми системами VMware немедленно применить все доступные обновления или обходные пути, задуматься о возможной компрометации и просканировать системы на вредоносное ПО и следы взлома.