Cyberthreat.id – FBI dan CISA mengungkapkan dalam penasehat bersama yang diterbitkan hari ini bahwa kelompok ancaman yang didukung Iran yang tidak disebutkan namanya meretas organisasi Federal Civilian Executive Branch (FCEB) untuk menyebarkan malware XMRig cryptomining.

Melansir Bleeping Computer, Penyerang mengkompromikan jaringan federal setelah meretas ke server VMware Horizon yang belum ditambal menggunakan eksploit yang menargetkan kerentanan eksekusi kode jarak jauh Log4Shell (CVE-2021-44228).

Setelah menyebarkan penambang cryptocurrency, aktor ancaman Iran juga menyiapkan proxy terbalik di server yang disusupi untuk mempertahankan kegigihan dalam jaringan agensi FCEB.

"Dalam kegiatan respons insiden, CISA menetapkan bahwa pelaku ancaman dunia maya mengeksploitasi kerentanan Log4Shell di server VMware Horizon yang belum ditambal, memasang perangkat lunak penambangan kripto XMRig, berpindah secara lateral ke pengontrol domain (DC), mengkompromikan kredensial, dan kemudian menanamkan pembalikan Ngrok proksi pada beberapa host untuk mempertahankan kegigihan," bunyi penasehat bersama.

Kedua agen federal AS menambahkan bahwa semua organisasi yang belum menambal sistem VMware mereka terhadap Log4Shell harus berasumsi bahwa mereka telah dilanggar dan menyarankan mereka untuk mulai mencari aktivitas jahat di dalam jaringan mereka.

CISA memperingatkan pada bulan Juni bahwa server VMware Horizon dan Unified Access Gateway (UAG) masih dimangsa oleh berbagai pelaku ancaman, termasuk grup peretasan yang disponsori negara, menggunakan eksploitasi Log4Shell.

Log4Shell dapat dieksploitasi dari jarak jauh untuk menargetkan server rentan yang terpapar akses lokal atau Internet untuk bergerak secara lateral melintasi jaringan yang dilanggar guna mengakses sistem internal yang menyimpan data sensitif.

Setelah pengungkapannya pada Desember 2021, banyak pelaku ancaman segera mulai memindai dan mengeksploitasi sistem yang tidak ditambal.

Daftar penyerang termasuk kelompok peretas yang didukung negara dari China, Iran, Korea Utara, dan Turki, serta pialang akses yang dikenal memiliki hubungan dekat dengan beberapa geng ransomware.

CISA juga menyarankan organisasi dengan server VMware yang rentan untuk berasumsi bahwa mereka telah dilanggar dan memulai aktivitas pencarian ancaman.

VMware juga mendesak pelanggan pada bulan Januari untuk mengamankan server VMware Horizon mereka dari upaya serangan Log4Shell sesegera mungkin.

Sejak Januari, server VMware Horizon yang terpapar Internet telah diretas oleh aktor ancaman berbahasa Mandarin untuk menyebarkan ransomware Night Sky, APT Lazarus Korea Utara untuk menyebarkan pencuri informasi, dan grup peretasan TunnelVision yang berpihak pada Iran untuk menyebarkan pintu belakang.