Các tác nhân đe dọa do chính phủ Iran tài trợ đã bị quy trách nhiệm làm tổn hại đến một cơ quan liên bang của Hoa Kỳ bằng cách lợi dụng lỗ hổng Log4Shell trong một máy chủ VMware Horizon chưa được vá.
Các chi tiết được Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) chia sẻ, nhằm đáp ứng các nỗ lực ứng phó sự cố do cơ quan này thực hiện từ giữa tháng 6 đến giữa tháng 7 năm 2022.
"Các tác nhân đe dọa mạng đã khai thác lỗ hổng Log4Shell trong một máy chủ VMware Horizon chưa được vá, cài đặt phần mềm khai thác tiền điện tử XMRig, di chuyển ngang sang bộ điều khiển miền (DC), thông tin đăng nhập bị xâm phạm và sau đó cấy proxy ngược Ngrok trên một số máy chủ để duy trì tính bền bỉ", CISA lưu ý .
LogShell, hay còn gọi là CVE-2021-44228, là một lỗ hổng thực thi mã từ xa quan trọng trong thư viện ghi nhật ký dựa trên Java Apache Log4j được sử dụng rộng rãi. Nó đã được giải quyết bởi những người bảo trì dự án nguồn mở vào tháng 12 năm 2021.
Diễn biến mới nhất đánh dấu việc các nhóm được nhà nước Iran tài trợ tiếp tục lạm dụng các lỗ hổng Log4j trong máy chủ VMware Horizon kể từ đầu năm. CISA đã không quy sự kiện này cho một nhóm tấn công cụ thể.
Tuy nhiên, một cố vấn chung do Australia, Canada, Anh và Mỹ đưa ra vào tháng 9 năm 2022 đã chỉ ra rằng Quân đoàn Vệ binh Cách mạng Hồi giáo của Iran (IRGC) đã tận dụng khuyết điểm để thực hiện các hoạt động hậu khai thác.
Theo CISA, tổ chức bị ảnh hưởng được cho là đã bị xâm phạm sớm nhất là vào tháng 2 năm 2022 bằng cách vũ khí hóa lỗ hổng để thêm quy tắc loại trừ mới vào Windows Defender cho phép liệt kê toàn bộ ổ C: \.
Làm như vậy giúp đối thủ có thể tải xuống tập lệnh PowerShell mà không cần kích hoạt bất kỳ quá trình quét chống vi-rút nào, từ đó truy xuất phần mềm khai thác tiền điện tử XMRig được lưu trữ trên máy chủ từ xa dưới dạng tệp lưu trữ ZIP.
Quyền truy cập ban đầu tiếp tục tạo điều kiện cho các tác nhân tìm nạp nhiều tải trọng hơn như PsExec, Mimikatz và Ngrok, ngoài việc sử dụng RDP cho chuyển động ngang và vô hiệu hóa Windows Defender trên các điểm cuối.
"Các tác nhân đe dọa cũng đã thay đổi mật khẩu cho tài khoản quản trị viên cục bộ trên một số máy chủ như một bản sao lưu nếu tài khoản quản trị viên miền giả mạo bị phát hiện và chấm dứt", CISA lưu ý.
Cũng được phát hiện là một nỗ lực không thành công trong việc kết xuất quy trình Dịch vụ Hệ thống Con của Cơ quan Bảo mật Cục bộ (LSASS) bằng Trình quản lý Tác vụ Windows, đã bị chặn bởi giải pháp chống vi-rút được triển khai trong môi trường CNTT.
Microsoft, trong một báo cáo tháng trước, đã tiết lộ rằng tội phạm mạng đang nhắm mục tiêu thông tin đăng nhập trong quy trình LSASS do nó "có thể lưu trữ không chỉ thông tin đăng nhập hệ điều hành của người dùng hiện tại mà còn của quản trị viên miền."
Gã khổng lồ công nghệ cho biết: “Việc bán phá giá thông tin đăng nhập LSASS rất quan trọng đối với những kẻ tấn công vì nếu chúng kết xuất thành công mật khẩu miền, chẳng hạn, chúng có thể sử dụng các công cụ hợp pháp như PsExec hoặc Windows Management Instrumentation (WMI) để di chuyển ngang qua mạng”.