Rede federal dos EUA hackeada - hackers APT obtiveram acesso ao controlador de domínio
- Segunda, 21st Novembro, 2022
- 13:23pm
A infraestrutura de segurança cibernética e a agência de segurança dos EUA descobriram um possível ataque cibernético na rede federal dos EUA, onde os invasores comprometeram o DC da organização e possivelmente implantaram o cripto Miner, credencial Harvester.
Os hackers iranianos do APT lançaram um ataque à organização do Poder Executivo Federal Civil (FCEB) explorando a vulnerabilidade Log4Shell em um servidor VMware Horizon não corrigido.
CVE-2021-44228 (log4Shell) era uma vulnerabilidade de dia zero no Log4j , uma popular estrutura de registro Java envolvendo execução de código arbitrário e afeta uma ampla gama de produtos, incluindo o VMware Horizon.
A CISA acredita que o ataque foi iniciado por hackers apoiados pelo governo do Irã que instalaram o software de mineração de criptografia XMRig, moveram-se lateralmente para o controlador de domínio (DC), comprometeram credenciais e implantaram proxies reversos Ngrok em vários hosts para manter a persistência.
Em abril de 2022, a CISA realizou uma investigação de rotina e suspeitou de atividades APT maliciosas na rede FCEB com a ajuda do EINSTEIN, um sistema de detecção de intrusão ( IDS ) em todo o FCEB.
Durante a investigação, os pesquisadores encontraram tráfego bidirecional entre a rede e um endereço IP malicioso conhecido associado à exploração da vulnerabilidade Log4Shell (CVE-2021-44228) nos servidores VMware Horizon.
Como resultado, houve uma atividade HTTPS iniciada do endereço IP 51.89.181[.]64 para o servidor VMware da organização, uma análise mais aprofundada revela que o IP associado ao servidor Lightweight Directory Access Protocol (LDAP) que foi operado por ameaças atores para a implantação do Log4Shell.
Saiba mais: cybersecuritynews.com
