美國網路安全及基礎設施安全局(CISA)本周指出,該局在參與一個聯邦文職行政部門(Federal Civilian Executive Branch,FCEB)的安全事件應變時,發現伊朗駭客利用了未修補的Log4Shell漏洞,於受害組織植入了XMRig挖礦程式,還在組織內部橫向移動、竊取憑證,同時安裝了反向代理工具Ngrok企圖長駐。

由CISA負責管轄的FCEB組織有數十個,CISA並未公布受害組織的名稱,不過,顯然該組織已違反CISA的規定,因為遭到駭客利用的Log4Shell漏洞CVE-2021-44228早在去年底就被CISA列入已知被濫用的安全漏洞(Known Exploited Vulnerabilities)目錄中,所有FCEB組織都應該已於去年12月24日以前修補完成。

根據CISA與美國聯邦調查局(FBI)的調查,駭客是在今年2月藉由VMware Horizon伺服器上未修補的CVE-2021-44228漏洞成功入侵該組織,而CISA則是在4月以入侵偵測系統EINSTEIN進行分析時,發現了該組織網路上的可疑行動。

分析顯示,這應是由伊朗贊助的國家級駭客所為,除了在該組織的系統上安裝XMRig挖擴程式之外,也橫向移動至網域控制器,竊取了該組織的多個憑證,並植入Ngrok。

CISA公布了此一攻擊行為的入侵指標(Indicators of Compromise,IOC)與戰術、技術和流程(TPP)供外界參考,並建議有偵測到相關ICO與TPP的其它組織,應假設駭客已執行橫向移動並展開全面的調查。

熱門新聞

Advertisement