Miles de sitios web pirateados para la campana SEO de

Un grupo de piratería anónimo patrocinado por el estado iraní ha comprometido con éxito terminales pertenecientes a una organización de la Rama Ejecutiva Civil Civil de los EE. UU. (FCEB) y utilizó su acceso para implementar un minero de criptomonedas.

La Agencia de Infraestructura y Seguridad Cibernética (CISA) publicó (se abre en una nueva pestaña) los hallazgos a principios de esta semana. Según su informe, CISA fue contratado a mediados de junio para investigar la actividad sospechosa de Amenaza Persistente Avanzada (APT).

Después de una investigación de un mes que finalizó en julio de 2022, la agencia concluyó que un actor de amenazas patrocinado por el estado iraní había comprometido con éxito un servidor VMware Horizon sin parches al explotar la infame vulnerabilidad log4j, Log4Shell.

Aplicación de parches a los sistemas de VMware

El grupo usó el acceso para instalar XMRig, un conocido minero de criptomonedas que usa la potencia informática del dispositivo para generar Monero, una criptomoneda centrada en la privacidad que es casi imposible de rastrear y rastrear.

Los actores también se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos de Ngrok, en múltiples hosts, para mantener la persistencia en la red.

Tras la publicación de estos hallazgos, CISA, junto con el FBI, instó a todas las organizaciones con sistemas VMware similares a aplicar de inmediato los parches disponibles o cargar soluciones alternativas conocidas.

Se ha instado a todas las organizaciones con sistemas VMware afectados a «asumir el compromiso» e iniciar actividades de búsqueda de amenazas.

«Si se detecta un acceso o compromiso inicial sospechoso en base a los IOC o TTP descritos en este CSA, CISA y el FBI alientan a las organizaciones a asumir el movimiento lateral de los actores de amenazas, investigar los sistemas conectados (incluido el DC) y auditar cuentas privilegiadas, «, dice el anuncio. .

«Todas las organizaciones, independientemente de la evidencia de compromiso identificada, deben aplicar las recomendaciones en la sección de Mitigación de este CSA para protegerse contra actividades cibernéticas maliciosas similares».

Log4Shell, que se descubrió por primera vez a fines del año pasado, ha sido descrito por la directora de CISA, Jen Easterly, como «una de las vulnerabilidades más graves, si no la más grave» que jamás haya visto.

Share This