Od połowy czerwca do połowy lipca 2022 r. CISA przeprowadziła akcję reagowania na incydenty w organizacji Federal Civilian Executive Branch (FCEB), w której CISA zaobserwowała podejrzaną aktywność zaawansowanego trwałego zagrożenia (APT). W ramach działań związanych z reagowaniem na incydenty CISA ustaliła, że cyberprzestępcy wykorzystali lukę Log4Shell w niezałatanym serwerze VMware Horizon, zainstalowali oprogramowanie do wydobywania kryptowalut XMRig, przenieśli się do kontrolera domeny (DC), naruszyli dane uwierzytelniające, a następnie wszczepili odwrotne serwery proxy Ngrok na kilku hostach, aby zachować trwałość. CISA i Federalne Biuro Śledcze (FBI) oceniają, że sieć FCEB została naruszona przez sponsorowanych przez rząd Iranu aktorów APT.
CISA i FBI publikują niniejszy poradnik dotyczący bezpieczeństwa cybernetycznego (CSA), w którym przedstawiono taktyki, techniki i procedury podmiotów podejrzanych o sponsorowanie przez irański rząd (TTP) oraz wskaźniki kompromisu (IOC), aby pomóc obrońcom sieci wykrywać powiązane naruszenia i chronić się przed nimi.
CISA i FBI zachęcają wszystkie organizacje, których systemy VMware, których dotyczy problem, i które nie zastosowały od razu dostępnych poprawek lub obejść, do przyjęcia kompromisu i rozpoczęcia polowania na zagrożenia. W przypadku wykrycia podejrzenia wstępnego dostępu lub naruszenia bezpieczeństwa na podstawie IOC lub TTP opisanych w niniejszej CSA, CISA i FBI zachęcają organizacje do zakładania bocznego ruchu cyberprzestępców, badania połączonych systemów (w tym kontrolera domeny) i przeprowadzania audytu uprzywilejowanych kont. Wszystkie organizacje, niezależnie od zidentyfikowanych dowodów naruszenia bezpieczeństwa, powinny stosować zalecenia zawarte w sekcji Środki zaradcze w niniejszej CSA, aby chronić się przed podobną złośliwą działalnością cybernetyczną.
Przegląd
W kwietniu 2022 r. CISA przeprowadziła analizę retrospektywną przy użyciu EINSTEIN — systemu wykrywania włamań (IDS) obejmującego cały FCEB, obsługiwanego i monitorowanego przez CISA — i zidentyfikowała podejrzaną aktywność APT w sieci organizacji FCEB. CISA zaobserwowała dwukierunkowy ruch między siecią a znanym szkodliwym adresem IP związany z wykorzystaniem luki Log4Shell (CVE-2021-44228) w serwerach VMware Horizon. W porozumieniu z organizacją FCEB CISA zainicjowała działania związane z reagowaniem na incydenty związane z polowaniem na zagrożenia; jednak przed wysłaniem zespołu reagowania na incydenty CISA zaobserwowała dodatkową podejrzaną aktywność APT. W szczególności CISA zaobserwowała aktywność HTTPS z adresu IP 51.89.181[.]64 do serwera VMware organizacji. W oparciu o raporty zaufanej strony trzeciej, 51.89.181[.]64 to serwer LDAP (Lightweight Directory Access Protocol) powiązany z cyberprzestępcami wykorzystującymi Log4Shell. Po aktywności HTTPS CISA zaobserwowała podejrzane wywołanie zwrotne LDAP na porcie 443 do tego adresu IP. CISA zaobserwowała również zapytanie DNS dla us-nation-ny[.]por to rozwiązane z powrotem do 51.89.181[.]64 kiedy serwer ofiary zwracał to wywołanie zwrotne LDAP Log4Shell do serwera aktorów.
CISA oceniła, że ruch ten wskazywał na potwierdzone naruszenie bezpieczeństwa w oparciu o pomyślne wywołanie zwrotne do wskaźnika i poinformowała organizację o tych ustaleniach; organizacja zbadała tę działalność i znalazła oznaki kompromisu. Jako zaufana strona trzecia zgłaszająca powiązaną aktywność Log4Shell z 51.89.181[.]64 z ruchem poprzecznym i celowaniem w DC, CISA podejrzewała, że cyberprzestępcy przesunęli się w bok i naruszyli DC organizacji.
Od połowy czerwca do połowy lipca 2022 r. CISA przeprowadziła akcję reagowania na incydenty na miejscu i ustaliła, że organizacja została naruszona już w lutym 2022 r. przez prawdopodobnie sponsorowanych przez irański rząd aktorów APT, którzy zainstalowali oprogramowanie do kopania kryptowalut XMRig. Cyberprzestępcy przenieśli się również do kontrolera domeny, złamali dane uwierzytelniające i wszczepili odwrotne serwery proxy Ngrok.
Więcej na https://www.cisa.gov/uscert/ncas/alerts/aa22-320a
