美國網路安全暨基礎設施安全局(Cybersecurity and Infrastructure Security Agency, CISA)11月16日發布公告,聯邦文職行政部門(Federal Civilian Executive Branch, FCEB)進行事件調查時發現APT攻擊,此事件駭客透過未修補之Log4Shell漏洞成功進行滲透與橫向擴散,CISA公布此次受駭偵測指標(Indicators of Compromise, IoC)與MITRE ATT&CK技術資訊,並建議落實軟體更新至最新版本。
CISA於2022年4月發現FCEB之網路有可疑活動,深入追查後發現其VMware Horizon伺服器上存在Log4Shell漏洞(CVE-2021-44228),且早於2月時就已遭駭客利用,除安裝XMRig加密貨幣挖擴程式外,亦橫向移動至網域控制器(Domain Controller),竊取該組織多個憑證,並同時於多台主機植入反向代理工具Ngrok以維持其常駐。CISA與美國聯邦調查局(Federal Bureau of Investigation, FBI)推測,可能為伊朗政府所贊助之國家級駭客組織所為。
https://www.cisa.gov/uscert/ncas/alerts/aa22-320a