伊朗黑客利用Log4Shell漏洞危害美国联邦机构的网络

伊朗政府支持的威胁行为体被指责利用未经修补的VMware Horizon服务器中的Log4Shell漏洞危害美国联邦机构。

美国网络安全和基础设施安全局(CISA)分享了这些细节，是对该机构在2022年6月中旬至7月中旬期间进行的事件响应工作的回应。

CISA指出：“网络威胁参与者利用未修补的VMware Horizon服务器中的Log4Shell漏洞，安装XMRig加密挖掘软件，横向移动到域控制器（DC），破坏凭据，然后在多个主机上植入Ngrok反向代理以保持持久性”。

LogShell，又名CVE-221-44228，是广泛使用的基于Apache Log4j Java的日志库中的一个关键远程代码执行缺陷。2021 12月，开源项目维护人员解决了这个问题。

最新的事态发展标志着自今年年初以来，伊朗国家赞助的组织继续滥用VMware Horizon服务器中的Log4j漏洞。CISA没有将该事件归因于某个特定的黑客组织。

然而，澳大利亚、加拿大、英国和美国于2022年9月发布的一份联合咨询报告指出，伊朗伊斯兰革命卫队（IRGC）利用这一缺陷开展开采后活动。

根据CISA的说法，受影响的组织被认为早在2022年2月就已通过将漏洞武器化，为Windows Defender添加了一个新的排除规则，允许列出整个C:\驱动器，从而被破坏。

这样做使得对手可以下载PowerShell脚本而不触发任何防病毒扫描，进而以ZIP存档文件的形式检索远程服务器上托管的XMRig加密货币挖掘软件。

除了使用RDP进行横向移动和禁用端点上的Windows Defender之外，初始访问还使参与者能够获取更多有效载荷，如PsExec、Mimikatz和Ngrok。

CISA指出：“威胁参与者还更改了几台主机上的本地管理员帐户的密码，作为检测到并终止恶意域管理员帐户的备份”。

还检测到使用Windows任务管理器转储本地安全授权子系统服务（LSASS）进程的尝试失败，该进程被部署在IT环境中的防病毒解决方案阻止。

微软在上个月的一份报告中透露，网络犯罪分子在LSASS过程中锁定凭据，因为它“不仅可以存储当前用户的操作系统凭据，还可以存储域管理员的凭据”。

这家科技巨头表示：“转储LSASS凭据对攻击者来说很重要，因为如果他们成功转储域密码，他们可以使用PsExec或Windows Management Instrumentation（WMI）等合法工具在网络中横向移动”。