伊朗APT组织如何通过一个Log4j打穿美国政府内网
Editor's Note
一个关于安全资讯的公众号欢迎关注
The following article is from 夜组安全 Author NightCrawler
免责声明
由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
攻击情报
前言
CISA 在联邦民事行政部门 (FCEB) 组织进行了事件响应活动,CISA 观察到可疑的高级持续性威胁 (APT) 活动。在事件响应活动过程中,CISA 确定网络威胁参与者利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞,安装 XMRig 加密挖掘软件,横向移动到域控制器 (DC),破坏凭据,然后在多个主机上植入 Ngrok 反向代理以保持持久性。CISA和联邦调查局(FBI)评估FCEB网络是受到伊朗政府资助的APT行为者的破坏。
02
攻击路线图
“攻击者通过利用未修补的VMware Horizon服务器中的Log4Shell漏洞,安装了XMRig加密挖掘软件,横向移动到域控制器DC,窃取凭据,在多个主机上植入了Ngrok反向代理用来保持攻击持久性”。
技术细节
参考了MITRE ATT&CK for Enterprise框架版本 11
来源
安全资讯WiKi
高清攻击复盘图在圈子里面
一个一经加入永久免费的圈子66.6元子