CISA varoittaa iranilaisista haittaohjelmahyökkäyksistä Yhdysvaltain liittovaltion verkkoihin
Kyberturvallisuusvirasto CISA ja FBI ovat varoittaneet Yhdysvaltain liittovaltion organisaatioita Yhdysvaltain liittovaltion hallintoelimien (FCEB) organisaatioon kohdistuneista iranilaisista valtiollisista kyberhyökkäysryhmistä.
Kyberturvallisuus- ja infrastruktuuriturvallisuusvirasto (CISA) ja FBI julkaisivat yhteisen tiedotteen Yhdysvaltain liittovaltion hallintoelimien (FCEB) organisaatioon kohdistuneista iranilaisista valtiollisista kyberhyökkäysryhmistä. Hyökkääjät käyttivät Log4Shell-haavoittuvuutta päästäkseen verkkoon, asensivat XMRig-kryptolouhijaa ja etenivät verkossa leviämällä muihin järjestelmiin.
Hyökkäyksen uskotaan alkaneen helmikuussa 2022, kun uhkaajat hyödynsivät Log4Shell-haavoittuvuutta Log4j-kirjastossa paljastumattomassa VMware Horizon -palvelimessa. Päästyään sisään hyökkääjät muokkasivat Windows Defenderin asetuksia ja sallittujen hakemistojen listaa vaikeuttaakseen virustorjuntaa. Tämän jälkeen he latasivat haitallisia tiedostoja, joita käytettiin pysyvyyden varmistamiseen ja laittomaan kryptovaluutan louhintaan.
Hyökkääjät käyttivät XMRig-ohjelmistoa hyödyntämään uhrin resursseja kryptovaluuttojen louhintaan. He siirtyivät saastuneesta VMware Horizon -palvelimesta VMware VDI-KMS-isäntään käyttäen etätyöpöytäprotokollaa (RDP) ja Windowsin sisäänrakennettua käyttäjätiliä. Tämän jälkeen he siirsivät järjestelmiin Mimikatz-työkalun tilien tietojen kaappaamiseen, PsExec-työkalun verkostossa leviämiseen ja ngrok-työkalun etäyhteyden ja pysyvyyden parantamiseen.
CISA ja FBI suosittelevat, että organisaatiot validoivat jatkuvasti tietoturvavalvontansa uhkien käyttämiä tekniikoita ja työkaluja vastaan MITRE ATT&CK -viitekehyksen mukaisesti. Tämä sisältää tietoturvateknologioiden testaamisen ja suorituskyvyn analysoinnin sekä järjestelmän hienosäädön jatkuvasti.