Các tác nhân đe dọa do chính phủ Iran tài trợ đã bị đổ lỗi cho việc làm tổn hại đến một cơ quan liên bang của Hoa Kỳ bằng cách lợi dụng lỗ hổng Log4Shell trong máy chủ VMware Horizon chưa được vá.
Thông tin chi tiết do Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) chia sẻ nhằm đáp ứng các nỗ lực ứng phó sự cố do cơ quan này thực hiện từ giữa tháng 6 đến giữa tháng 7 năm 2022.
CISA lưu ý: “Các tác nhân đe dọa mạng đã khai thác lỗ hổng Log4Shell trong máy chủ VMware Horizon chưa được vá, cài đặt phần mềm khai thác tiền điện tử XMRig, chuyển sang bộ điều khiển miền (DC), xâm phạm thông tin đăng nhập và sau đó cấy proxy ngược Ngrok trên một số máy chủ để duy trì sự bền vững”. .
LogShell, hay còn gọi là CVE-2021-44228, là một lỗ hổng thực thi mã từ xa nghiêm trọng trong thư viện ghi nhật ký dựa trên Java apache Log4j được sử dụng rộng rãi. Những người duy trì dự án nguồn mở đã giải quyết vấn đề này vào tháng 12 năm 2021.
Diễn biến mới nhất đánh dấu việc các nhóm do nhà nước Iran tài trợ tiếp tục lạm dụng các lỗ hổng Log4j trong máy chủ VMware Horizon kể từ đầu năm. CISA không quy sự kiện này cho một nhóm hack cụ thể.
Tuy nhiên, một khuyến cáo chung do Úc, Canada, Anh và Mỹ đưa ra vào tháng 9 năm 2022 đã chỉ trích Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC) vì đã tận dụng sự thiếu sót để thực hiện các hoạt động hậu khai thác.
Tổ chức bị ảnh hưởng, theo CISA, được cho là đã bị xâm phạm vào đầu tháng 2 năm 2022 bằng cách vũ khí hóa lỗ hổng để thêm một quy tắc loại trừ mới vào Windows Defender đưa toàn bộ ổ C:\ vào danh sách cho phép.
Làm như vậy giúp kẻ thù có thể tải xuống tập lệnh PowerShell mà không kích hoạt bất kỳ quá trình quét chống vi-rút nào, do đó, truy xuất phần mềm khai thác tiền điện tử XMRig được lưu trữ trên máy chủ từ xa dưới dạng tệp lưu trữ ZIP.
Quyền truy cập ban đầu tiếp tục cho phép các tác nhân tìm nạp thêm các tải trọng như PsExec, Mimikatz và Ngrok, ngoài việc sử dụng RDP cho chuyển động ngang và vô hiệu hóa Windows Defender trên các điểm cuối.
“Các tác nhân đe dọa cũng đã thay đổi mật khẩu cho tài khoản quản trị viên cục bộ trên một số máy chủ để sao lưu nếu tài khoản quản trị viên miền giả mạo bị phát hiện và chấm dứt”, CISA lưu ý.
Cũng được phát hiện là một nỗ lực không thành công trong việc kết xuất quy trình Dịch vụ hệ thống con của Cơ quan bảo mật cục bộ (LSASS) bằng Trình quản lý tác vụ Windows, quy trình này đã bị chặn bởi giải pháp chống vi-rút được triển khai trong môi trường CNTT.
Microsoft, trong một báo cáo vào tháng trước, đã tiết lộ rằng tội phạm mạng đang nhắm mục tiêu thông tin đăng nhập trong quy trình LSASS do thực tế là nó “có thể lưu trữ không chỉ thông tin đăng nhập hệ điều hành của người dùng hiện tại mà còn cả thông tin đăng nhập của quản trị viên miền.”
Gã khổng lồ công nghệ cho biết: “Việc hủy thông tin đăng nhập LSASS rất quan trọng đối với những kẻ tấn công vì nếu chúng kết xuất thành công mật khẩu miền, chẳng hạn, chúng có thể sử dụng các công cụ hợp pháp như PsExec hoặc Windows Management Instrumentation (WMI) để di chuyển ngang qua mạng”.
