نفوذ هکر‌های ایرانی با استفاده از اکسپلویت Log4Shell به آژانس امنیتی فدرال

اخبار داغ فناوری اطلاعات و امنیت شبکه

takian.ir us govt iranian hackers breached federal agency using log4shell exploit
سازمان‌های FBI و CISA در گزارش مشترکی که امروز منتشر شد، ادعا کردند که یک گروه تهدید ناشناس تحت حمایت ایران، یک سازمان فدرال شعبه اجرایی غیرنظامی (FCEB) را برای استقرار بدافزار رمزنگاری XMRig هک کرده است.

مهاجمان پس از هک کردن سرور VMware Horizon پچ‌نشده با استفاده از یک اکسپلویت که آسیب‌پذیری اجرای کد راه دور Log4Shell (CVE-2021-44228) را هدف قرار می‌دهد، شبکه فدرال را به خطر انداختند.

پس از استقرار ماینر ارز‌های دیجیتال، عاملان تهدید ایرانی نیز برای حفظ پایداری در شبکه آژانس FCEB، پراکسی‌های معکوس (reverse proxy) را روی سرور‌های در معرض خطر راه‌اندازی کردند.

«در جریان فعالیت‌های واکنش به حادثه، CISA تشخیص داد که عوامل تهدید سایبری از آسیب‌پذیری Log4Shell در سرور VMware Horizon پچ‌نشده سواستفاده کردند، نرم‌افزار استخراج رمزنگاری XMRig را نصب نمودند، به سمت کنترل‌کننده دامنه (DC) حرکت کردند، اعتبارنامه‌ها را به خطر انداختند، و سپس پروکسی‌های معکوس Ngrok را در چندین هاست برای حفظ پایداری، مستقر کردند.»

این دو آژانس فدرال ایالات متحده افزودند که همه سازمان‌هایی که هنوز سیستم‌های VMware خود را در برابر Log4Shell پچ نکرده‌اند، باید فرض کنند که قبلاً حریم آن‌ها نقض شده‌اند و به آن‌ها توصیه شده است که به دنبال فعالیت‌های مخرب در شبکه‌های خود باشند.

سازمان CISA در ژوئن هشدار داد که سرور‌های VMware Horizon و Unified Access Gateway (UAG) همچنان توسط چندین عامل تهدید، از جمله گروه‌های هک حمایت‌شده دولتی، با استفاده از اکسپلویت‌های Log4Shell مورد حمله قرار می‌گیرند.

نقص Log4Shell را می‌توان از راه دور برای هدف قرار دادن سرور‌های آسیب‌پذیری که در معرض دسترسی محلی یا اینترنتی قرار دارند مورد سواستفاده قرار داد تا به صورت جانبی در سراسر شبکه‌های نقض شده برای دسترسی به سیستم‌های داخلی که داده‌های حساس را ذخیره می‌کنند، حرکت کنند.

بهره‌برداری مداوم Log4Shell توسط هکر‌های دولتی
پس از افشای این آسیب‌پذیری در دسامبر ۲۰۲۱، چندین عامل تهدید تقریباً بلافاصله شروع به اسکن و بهره‌برداری از سیستم‌های پچ نشده کردند.

فهرست مهاجمان شامل گروه‌های هکر تحت حمایت دولت از چین، ایران، کره شمالی و ترکیه و همچنین بروکر‌های دسترسی است که به دلیل روابط نزدیک خود با برخی گروه‌های باج‌افزاری شناخته می‌شوند.

مجموعه CISA همچنین به سازمان‌های دارای سرور‌های آسیب‌پذیر VMware توصیه کرد که فرض کنند این سرور‌ها نقض شده‌اند و فعالیت‌های مرتبط با کشف و خنثی‌سازی تهدید را آغاز کنند.

مجموعه VMware همچنین در ژانویه از مشتریان خواست تا در اسرع وقت سرور‌های VMware Horizon خود را در برابر حملات Log4Shell ایمن کنند.

از ژانویه، سرور‌های VMware Horizon متصل به اینترنت، توسط عاملان تهدید چینی زبان برای استقرار باج‌افزار Night Sky، گروه APT کره شمالی Lazarus برای استقرار سرقت‌کنندگان اطلاعات و گروه هک TunnelVision همسو با ایران برای استقرار Backdoor هک شده‌اند.

در توصیه سایبری امروز، CISA و FBI اکیداً به سازمان‌ها توصیه کردند که اقدامات کاهش مخاطرات و تمهیدات دفاعی توصیه‌شده از جمله موارد ذیل را اعمال نمایند:

به روز‌رسانی سیستم‌های VMware Horizon و گیت‌وی دسترسی یکپارچه (UAG) به آخرین نسخه.

به حداقل رساندن سطح حمله اینترنتی سازمان شما.

برنامه امنیتی سازمان خود را در برابر رفتار‌های تهدیدی که در چارچوب MITER ATT&CK for Enterprise در CSA ترسیم شده است، اجرا کنید، آزمایش کنید و اعتبار سنجی کنید.

آزمایش کنترل‌های امنیتی موجود سازمانتان در برابر تکنیک‌های ATT&CK که در این مشاوره امنیتی توضیح داده شده است، اعمال نمایید.

برچسب ها: MITER ATT&CK for Enterprise, Night Sky, پراکسی معکوس, Reverse Proxy, UAG, Unified Access Gateway, CVE-2021-44228, ATT&CK, Ngrok, TunnelVision, FCEB, Lazarus APT, VMware Horizon, Log4j, Log4Shell, باج‌افزار, پچ, XMRig, Iran, APT, Patch, CISA , ایران, malware, FBI, ransomware , دفاع سایبری, Cyber Security, backdoor, بدافزار, امنیت سایبری, Cyber Attacks, حمله سایبری, news

نوشته شده توسط تیم خبر.

چاپ