CISA warnt vor iranischen Angriffen auf US-Bundesnetzwerke

Die Behörde für Cybersicherheit und Infrastruktursicherheit (CISA) und das FBI haben eine gemeinsame Warnung bezüglich iranischer, staatlich unterstützter Advanced Persistent Threat (APT)-Akteure veröffentlicht, die eine Organisation des Federal Civilian Executive Branch (FCEB) der USA ins Visier genommen haben. Die Angreifer nutzten die Log4Shell-Schwachstelle für den initialen Zugriff, setzten den XMRig-Kryptominer ein und führten laterale Bewegung durch, um weitere Hosts im Netzwerk des Opfers zu infizieren.

Die vermutete Kampagne begann im Februar 2022, als die Bedrohungsakteure die Log4Shell-Schwachstelle in einem ungepatchten VMware Horizon-Server ausnutzten. Nach dem initialen Zugriff modifizierten die Angreifer die Einstellungen von Windows Defender und erlaubten bestimmte Verzeichnisse, um Antivirus-Scans zu umgehen. Anschließend luden sie bösartige Dateien herunter, um Persistenz herzustellen und Krypto-Mining-Operationen durchzuführen.

Krypto-Mining beinhaltet die unbefugte Nutzung der Ressourcen von Opfern zum Schürfen von Kryptowährungen. In diesem Fall lud die iranische APT-Gruppe XMRig-Kryptowährungs-Mining-Software auf den VMware Horizon-Server des Opfers herunter. Die Angreifer weiteten ihre Aktivitäten aus, indem sie von dem kompromittierten VMware Horizon-Server auf einen VMware VDI-KMS-Host über das Remote Desktop Protocol (RDP) wechselten. Sie übertrugen Werkzeuge wie Mimikatz zur Extraktion von Anmeldeinformationen, PsExec zur lateralen Bewegung und ngrok für Fernzugriff und Persistenz.

CISA und das FBI empfehlen, dass Organisationen ihre Sicherheitskontrollen kontinuierlich gegen die von Bedrohungsakteuren verwendeten Techniken und Werkzeuge validieren, im Einklang mit dem MITRE ATT&CK-Framework. Dieser Validierungsprozess umfasst das Testen von Sicherheitstechnologien, die Analyse ihrer Leistung und die kontinuierliche Abstimmung des Sicherheitsprogramms, um sich gegen sich entwickelnde Bedrohungen zu wappnen.