İran hükümeti destekli tehdit aktörleri, yama uygulanmamış bir VMware Horizon sunucusundaki Log4Shell güvenlik açığından yararlanarak bir ABD federal kurumunu tehlikeye atmakla suçlandı.
ABD Siber Güvenlik ve Altyapı Güvenliği Teşkilatı (CISA) tarafından paylaşılan ayrıntılar, yetkili makamın 2022 Haziran ortasından Temmuz ortasına kadar üstlendiği olaylara müdahale çabalarına yanıt olarak geldi.
CISA, “Siber tehdit aktörleri, yama uygulanmamış bir VMware Horizon sunucusundaki Log4Shell güvenlik açığından yararlandı, XMRig kripto madenciliği yazılımı yükledi, yanal olarak etki alanı denetleyicisine (DC) taşındı, kimlik bilgilerini ele geçirdi ve ardından kalıcılığı korumak için birkaç ana bilgisayara Ngrok ters proxy’leri yerleştirdi.” .
LogShell, diğer adıyla CVE-2021-44228, yaygın olarak kullanılan Apache Log4j Java tabanlı kayıt kitaplığında kritik bir uzaktan kod yürütme kusurudur. Aralık 2021’de açık kaynak proje sahipleri tarafından ele alındı.
Son gelişme, VMware Horizon sunucularındaki Log4j güvenlik açıklarının bu yılın başından bu yana İran devlet destekli gruplar tarafından kötüye kullanılmaya devam ettiğine işaret ediyor. CISA, olayı belirli bir bilgisayar korsanlığı grubuna bağlamadı.
Bununla birlikte, Eylül 2022’de Avustralya, Kanada, Birleşik Krallık ve ABD tarafından yayınlanan ortak bir danışma belgesi, İran’ın İslam Devrim Muhafızları Birliği’nin (IRGC) sömürü sonrası faaliyetleri yürütmek için eksiklikten yararlandığına işaret etti.
CISA’ya göre etkilenen kuruluşun, Windows Defender’a tüm C:\ sürücüsünü izin verilenler listesine ekleyen yeni bir dışlama kuralı eklemek için güvenlik açığını silah haline getirerek Şubat 2022’de ihlal edildiğine inanılıyor.
Bunu yapmak, rakibin herhangi bir antivirüs taramasını tetiklemeden bir PowerShell komut dosyası indirmesini mümkün kıldı ve bu da, uzak bir sunucuda barındırılan XMRig kripto para madenciliği yazılımını bir ZIP arşiv dosyası biçiminde aldı.
İlk erişim, oyuncuların yanal hareket için RDP kullanmanın ve uç noktalarda Windows Defender’ı devre dışı bırakmanın yanı sıra PsExec, Mimikatz ve Ngrok gibi daha fazla yük getirmesini sağladı.
CISA, “Tehdit aktörleri, sahte etki alanı yöneticisi hesabının tespit edilmesi ve feshedilmesi durumunda yedek olarak birkaç ana bilgisayardaki yerel yönetici hesabının şifresini de değiştirdi.”
Ayrıca, Windows Görev Yöneticisi kullanılarak Yerel Güvenlik Yetkilisi Alt Sistem Hizmeti (LSASS) işleminin boşaltılmasına yönelik başarısız bir girişim de tespit edildi; bu girişim, BT ortamında dağıtılan antivirüs çözümü tarafından engellendi.
Microsoft, geçen ay bir raporda, siber suçluların “yalnızca mevcut bir kullanıcının işletim sistemi kimlik bilgilerini değil, aynı zamanda bir etki alanı yöneticisinin kimlik bilgilerini de depolayabilmesi” nedeniyle LSASS sürecindeki kimlik bilgilerini hedeflediklerini ortaya koydu.
Teknoloji devi, “LSASS kimlik bilgilerini boşaltmak, saldırganlar için önemlidir, çünkü alan parolalarını başarılı bir şekilde atarlarsa, örneğin ağda yatay olarak hareket etmek için PsExec veya Windows Yönetim Araçları (WMI) gibi yasal araçları kullanabilirler” dedi.