تمكنت مجموعة قرصنة إيرانية لم تذكر اسمها ترعاها الدولة من المساومة على نقاط النهاية الخاصة بمنظمة السلطة التنفيذية المدنية الفيدرالية الأمريكية (FCEB)، واستخدمت وصولها لنشر عامل تعدين للعملات المشفرة والتركيز على انتتاجها.
نشرت وكالة الأمن السيبراني والبنية التحتية (CISA) النتائج في وقت سابق من هذا الأسبوع. وفقاً لتقريرها، تم إحضار وكالة الأمن السيبراني والبنية التحتية ، في منتصف يونيو، للتحقيق في الشكوك حول نشاط التهديد المستمر المتقدم (APT).
بعد تحقيق استمر لمدة شهر انتهى في يوليو 2022، خلصت الوكالة إلى أن جهة تهديد إيرانية ترعاها الدولة تمكنت من المساومة على خادم VMware Horizon غير المصحوب من خلال الاستفادة من ثغرة log4j السيئة، Log4Shell.
تصحيح أنظمة VMware
استخدمت المجموعة الوصول لتثبيت XMRig، وهو عامل تعدين معروف للعملات المشفرة يستخدم قوة الحوسبة للجهاز لتوليد Monero، وهي عملة مشفرة للخصوصية ويكاد يكون من المستحيل تتبعها.
انتقل الممثلون أيضاً إلى وحدة التحكم في المجال (DC)، واخترقوا أوراق الاعتماد، ثم زرعوا وكلاء Ngrok العكسية، على العديد من المضيفين، من أجل الحفاظ على المثابرة على الشبكة.
بعد إصدار هذه النتائج، حثت وكالة الأمن السيبراني والبنية التحتية ، جنباً إلى جنب مع مكتب التحقيقات الفيدرالي، جميع المنظمات التي لديها أنظمة VMware مماثلة على تطبيق التصحيحات المتاحة على الفور، أو تحميل الحلول المعروفة.
طُلب من جميع المنظمات التي لديها أنظمة VMware المتأثرة «تحمل حل وسط» والبدء في أنشطة صيد التهديدات.
يقرأ الإعلان
«إذا تم اكتشاف الوصول الأولي أو الحل الوسط المشتبه به بناءً على اللجنة الأولمبية الدولية أو TTPs الموصوفة ، فإن وكالة الأمن السيبراني والبنية التحتية و FBI يشجعان المنظمات على تولي الحركة الجانبية من قبل الجهات الفاعلة المهددة، والتحقيق في الأنظمة المتصلة (بما في ذلك DC)، وتدقيق الحسابات المميزة،» .
«يجب على جميع المنظمات، بغض النظر عن الأدلة المحددة على التسوية، تطبيق التوصيات الواردة في قسم التخفيف من CSA للحماية من نشاط إلكتروني ضار مماثل».
وصفت جين إيسترلي، مديرة CISA وكالة الأمن السيبراني والبنية التحتية ، Log4Shell، التي تم اكتشافها لأول مرة في أواخر العام الماضي، بأنها «واحدة من أخطر نقاط الضعف، إن لم تكن الأكثر خطورة» التي رأتها على الإطلاق.