伊朗駭客在美國聯邦網路上植入挖礦程式

美國網路安全及基礎設施安全局（CISA）本周指出，該局在參與一個聯邦文職行政部門（Federal Civilian Executive Branch，FCEB）的安全事件應變時，發現伊朗駭客利用了未修補的Log4Shell漏洞，於受害組織植入了XMRig挖礦程式，還在組織內部橫向移動、竊取憑證，同時安裝了反向代理工具Ngrok企圖長駐。

由CISA負責管轄的FCEB組織有數十個，CISA並未公布受害組織的名稱，不過，顯然該組織已違反CISA的規定，因為遭到駭客利用的Log4Shell漏洞CVE-2021-44228早在去年底就被CISA列入已知被濫用的安全漏洞（Known Exploited Vulnerabilities）目錄中，所有FCEB組織都應該已於去年12月24日以前修補完成。

根據CISA與美國聯邦調查局（FBI）的調查，駭客是在今年2月藉由VMware Horizon伺服器上未修補的CVE-2021-44228漏洞成功入侵該組織，而CISA則是在4月以入侵偵測系統EINSTEIN進行分析時，發現了該組織網路上的可疑行動。

分析顯示，這應是由伊朗贊助的國家級駭客所為，除了在該組織的系統上安裝XMRig挖擴程式之外，也橫向移動至網域控制器，竊取了該組織的多個憑證，並植入Ngrok。

CISA公布了此一攻擊行為的入侵指標（Indicators of Compromise，IOC）與戰術、技術和流程（TPP）供外界參考，並建議有偵測到相關ICO與TPP的其它組織，應假設駭客已執行橫向移動並展開全面的調查。