美國聯邦調查局和CISA在11月16日發布的聯合公告中透露,一個未命名的伊朗支持的威脅組織入侵了美國聯邦民事行政部門(FCEB)組織,以部署XMRig加密惡意軟件。攻擊者使用針對Log4Shell(CVE-2021-44228) 遠程代碼執行漏洞的攻擊方式,在入侵了未修補的 VMware Horizon 服務器後進而入侵美國聯邦網絡。聯合公告中寫道:「在事件響應活動過程中,CISA確定網絡威脅行為者利用未修補的VMware Horizon服務器中的Log4Shell漏洞,安裝XMRig加密挖掘軟件,橫向移動到域控制器(DC),破壞憑據,然後在多個主機上植入Ngrok反向代理以保持持久性,」這兩個美國聯邦機構還補充說:「所有尚未針對Log4Shell修補VMware系統的組織都應該假設他們已經遭到破壞,並建議他們開始在其網絡中尋找惡意活動。」CISA也在六月份警告說:「VMware Horizon和Unified Access Gateway(UAG)服務器仍然受到多個威脅行為者的攻擊,包括國家支持的黑客組織,使用Log4Shell漏洞開展攻擊。」Log4Shell 可以被遠程利用,以暴露在本地或 Internet 訪問下的易受攻擊的服務器為目標,在被破壞的網絡之間橫向移動,以訪問存儲敏感數據的內部系統。
自從 2021 年 12 月披露後,多個威脅行為者幾乎立即開始掃描和利用未修補的系統。攻擊者名單包括來自伊朗、朝鮮和土耳其的國家支持的黑客組織,以及與一些勒索軟件團伙關係密切而聞名的訪問經紀人。根據此類情況,CISA建議擁有易受攻擊的VMware服務器的組織做好他們已遭到破壞的假設並啟動威脅搜尋活動。VMware也在一月份敦促客戶儘快保護其VMware Horizon服務器免受Log4Shell攻擊。在今天的公告中,CISA和FBI更是進一步建議組織應用建議的緩解和防禦措施,包括:
1、將受影響的 VMware Horizon 和統一接入網關 (UAG) 系統更新到最新版本。
2、最大程度地減少組織面向 Internet 的攻擊面。
3、針對映射到 CSA 中 MITRE ATT&CK FOR ENTERPRISE 框架的威脅行為,執行、測試和驗證組織的安全計劃。
4、根據公告中所述的 ATT&CK 技術測試組織的現有安全控制。
精彩推薦 ▼
卡巴斯基最新發現!朝鮮黑客使用新的惡意軟件瞄準歐洲組織
2022-11-17
俄羅斯企業頻發數據泄露事件,720萬用戶數據在黑客論壇出售
2022-11-16
美國CISA稱:選舉中期投票不受網絡攻擊影響
2022-11-15
註:本文由E安全編譯報道,轉載請聯繫授權並註明來源
留言列表