Geçen yıl Aralık ayında, İranlı ve Çinli bilgisayar korsanlarının Log4Shell güvenlik açığını vahşi ortamda kullandıkları bildirildi. Şimdi, ABD CISA’ya (Siber güvenlik altyapısı ve güvenlik Ajansı) göre, İran hükümeti tarafından desteklenen bir gelişmiş kalıcı tehdit (APT) grubu, bir ABD federal kurumunun ağını ele geçirdi.
Yetkililere göre saldırı Federal Sivil Yürütme Şubesine (FCEB) başlatıldı.
Siber Saldırı Ayrıntıları
CISA, bilgisayar korsanlarının yama uygulanmamış VMware Horizon sunucusunda CVE-2021-44228 olarak izlenen Log4Shell güvenlik açığını ağı tehlikeye atmak ve kuruluşun etki alanı denetleyicisinin (DC) kontrolünü ele geçirmek için kullandığını ortaya çıkardı. Bilgisayar korsanları, sistemi başarılı bir şekilde işgal ettikten sonra, kimlik bilgilerini çalmak ve kripto madenciliği yapmak için XMRig kripto madenciliği yazılımını kullandı.
Bilgin olsun, Log4Shell, Log4j adlı bir Java günlük çerçevesindeki, rastgele kod yürütülmesine neden olan ve VMware Horizon ile geniş bir ürün dizisini etkileyen sıfır gün güvenlik açığıdır.
CISA Analizi
CISA uyarınca, araştırmacıları Nisan 2022’de rutin bir soruşturma yürüttü ve kurum tarafından kullanılan EINSTEIN izinsiz giriş tespit sistemini kullanarak FCEB ağındaki şüpheli APT faaliyetlerini tespit etti.
Ağdan geçen çift yönlü trafiği ve VMware Horizon sunucularında Log4Shell güvenlik açığından yararlanmayla bağlantılı zaten bulunan kötü amaçlı bir IP adresini keşfettiler.
CISA ayrıca, 51.89.18164 IP adresinden VMware sunucusuna bir HTTPS etkinliğinin başlatıldığını kaydetti. Daha fazla araştırma, IP adresinin saldırganlar tarafından Log4Shell’i dağıtmak için çalıştırılan Basit Dizin Erişim Protokolü (LDAP) sunucusuyla ilişkili olduğunu ortaya çıkardı.
Saldıranlar kimler?
CISA, İç Güvenlik Bakanlığı ve FBI’dan alınan ortak bir danışma belgesinde, saldırının Şubat 2022’de başlatıldığı ortaya çıktı. Saldırganlar yanal olarak DC’ye taşındı, kimlik bilgilerini çaldı ve kalıcılığı korumak için birden fazla ana bilgisayara Ngrok ters proxy’leri yerleştirdi. . ABD güvenlik yetkilileri, ağı temizlemek için Haziran ayında yanıt verdi.
Bildirildiğine göre, bilgisayar korsanlarının Nemesis Kitten olduğu belirlendi ve saldırıyı İran hükümetinin desteğiyle başlattılar. Nemesis Kitten, Phosphorus Iran kötü amaçlı yazılım grubunun bir uzantısıdır ve kuruluşlara yönelik fidye yazılımı saldırılarını kolaylaştırmak için iyi bilinen, yüksek düzeyde yararlanılabilir güvenlik açıklarını düzenli olarak kullanır.
CISA, hala yama uygulanmamış sunucu sürümlerini kullanan kuruluşların, sonunda tehlikeye düşecekleri için endişelenmeleri gerektiği konusunda uyardı.
Alakalı haberler
- Dirty Pipe Linux Güvenlik Açığı Verilerin Üzerine Yazıyor
- Dikkat Edin: Microsoft Office 0 Günlük Güvenlik Açığı Follina
- Yüksek Önem Düzeyindeki Güvenlik Açığı için OpenSSL Yaması Yayınlandı
- GPS Tracker’daki Kusur, Bilgisayar Korsanlarının Araçları Uzaktan Kontrol Etmesine Olanak Sağlıyor
- Kritik Amazon Halka Kusuru Kamera Kayıtlarını Açığa Çıkarabilir