Un grupo de piratería patrocinado por el estado iraní no identificado logró comprometer los puntos finales que pertenecen a una organización del Poder Ejecutivo Civil Federal Estadounidense (FCEB) y utilizó su acceso para implementar un minero de criptomonedas.
La Agencia de Infraestructura y Ciberseguridad (CISA) publicó (se abre en una pestaña nueva) los hallazgos a principios de esta semana. Según su informe, CISA fue contratada a mediados de junio para investigar sospechas de actividad de amenaza persistente avanzada (APT).
Luego de una investigación de un mes que finalizó en julio de 2022, la agencia concluyó que un actor de amenazas patrocinado por el estado iraní logró comprometer un servidor VMware Horizon sin parches al aprovechar la infame vulnerabilidad log4j, Log4Shell.
Aplicación de parches a los sistemas de VMware
El grupo usó el acceso para instalar XMRig, un conocido minero de criptomonedas que usa la potencia informática del dispositivo para generar Monero, una criptomoneda que prioriza la privacidad y que es casi imposible de rastrear y rastrear.
Los actores también se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos Ngrok, en varios hosts, para mantener la persistencia en la red.
Tras la publicación de estos hallazgos, CISA, junto con el FBI, instó a todas las organizaciones con sistemas VMware similares a aplicar los parches disponibles de inmediato o cargar soluciones alternativas conocidas.
A todas las organizaciones con sistemas VMware afectados se les dijo que «asumieran un compromiso» e iniciaran actividades de búsqueda de amenazas.
“Si se detecta un acceso o compromiso inicial sospechoso en base a los IOC o TTP descritos en este CSA, CISA y el FBI alientan a las organizaciones a asumir el movimiento lateral de los actores de amenazas, investigar los sistemas conectados (incluido el DC) y auditar las cuentas privilegiadas”, dice el anuncio. .
“Todas las organizaciones, independientemente de la evidencia identificada de compromiso, deben aplicar las recomendaciones en la sección Mitigaciones de este CSA para protegerse contra actividades cibernéticas maliciosas similares”.
Log4Shell, que se descubrió por primera vez a fines del año pasado, fue descrito por la directora de CISA, Jen Easterly, como «una de las vulnerabilidades más graves, si no la más grave» que jamás haya visto.