La CISA alerte sur des acteurs iraniens ciblant des réseaux fédéraux américains

L'Agence de cybersécurité et de sécurité des infrastructures (CISA) et le FBI ont publié un avis conjoint concernant des acteurs iraniens parrainés par l'État, ciblant une organisation du Federal Civilian Executive Branch (FCEB) américain. Les attaquants ont exploité la vulnérabilité Log4Shell pour un accès initial, déployé le mineur de cryptomonnaie XMRig et utilisé des mouvements latéraux pour infecter d'autres hôtes sur le réseau de la victime.

La campagne présumée a débuté en février 2022, lorsque des acteurs malveillants ont exploité la vulnérabilité Log4Shell dans un serveur VMware Horizon non corrigé. Après avoir obtenu un accès initial, les adversaires ont modifié les paramètres de Windows Defender et autorisé certains répertoires pour contourner l'analyse antivirus. Par la suite, ils ont téléchargé des fichiers malveillants pour établir la persistance et mener des opérations de cryptojacking.

Le cryptojacking implique l'utilisation non autorisée des ressources des victimes pour miner des cryptomonnaies. Dans ce cas, les acteurs iraniens ont téléchargé le logiciel de minage de cryptomonnaies XMRig sur le serveur VMware Horizon de la victime. Les attaquants ont ensuite étendu leurs activités en passant du serveur VMware Horizon compromis à un hôte VMware VDI-KMS via le protocole de bureau à distance (RDP). Ils ont transféré des outils tels que Mimikatz pour l'extraction d'informations d'identification, PsExec pour les mouvements latéraux et ngrok pour l'accès à distance et la persistance.

La CISA et le FBI recommandent que les organisations valident en permanence leurs contrôles de sécurité par rapport aux techniques et outils utilisés par les acteurs malveillants, conformément au framework MITRE ATT&CK. Ce processus de validation comprend des tests des technologies de sécurité, l'analyse de leurs performances et l'ajustement continu du programme de sécurité pour contrer les menaces évolutives.