CISA varnar för iranska attacker mot amerikanska federala nätverk

Cybersäkerhets- och infrastrukturmyndigheten (CISA) och FBI har utfärdat en gemensam varning om iranska, statsstödda hotaktörer som riktat in sig på en federal myndighetsorganisation (FCEB). Attackerna utnyttjade Log4Shell-sårbarheten för initial åtkomst, distribuerade XMRig-kryptominerare och använde inträngning i nätverket för att infektera ytterligare system.

Hypotetiskt inleddes intrånget i februari 2022 då aktörerna exploaterade Log4Shell-sårbarheten i en omodiferad VMware Horizon-server. Efter att ha fått initial åtkomst modifierade angriparna inställningar i Windows Defender och skapade en vitlista för vissa kataloger för att kringgå antivirusprogram. Därefter laddade de ner skadliga filer för att etablera persistens och genomföra kryptokapningsattacker.

Angriparna använde XMRig-programvaran för att utnyttja offrets resurser för att utvinna kryptovalutor. De flyttade från den komprometterade VMware Horizon-servern till en VMware VDI-KMS-värd via fjärrskrivbordsprotokoll (RDP) och ett inbyggt Windows-användarkonto. Därefter överförde de verktyg som Mimikatz för att extrahera lösenord, PsExec för att röra sig i nätverket och ngrok för fjärråtkomst och förbättrad persistens.

CISA och FBI rekommenderar att organisationer kontinuerligt validerar sina säkerhetskontroller mot hotaktörers tekniker och verktyg, i linje med MITRE ATT&CK-ramverket. Detta inkluderar att testa säkerhetstekniker, analysera deras prestanda och kontinuerligt justera och förbättra säkerhetsprogrammet.