聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

美国FBI和CISA发布联合公告指出，未具名伊朗威胁组织入侵了联邦民事行政部门 (FCEB) 所属一家组织机构并部署了XMRig 挖矿恶意软件。

攻击者利用远程代码执行漏洞Log4Shell (CVE-2021-44228) 的exploit 入侵了一台未修复的VMware Horizon 服务器。部署密币挖矿机后，伊朗威胁组织还在受陷服务器上设置了反向代理，在FCEB的网络中维持可持久性。

联合公告指出，“在事件响应活动过程中，CISA认为威胁组织利用了未修复VMware Horizon 服务器中的Log4Shell 漏洞，安装了XMRig密币挖掘软件，横向移动到域控制器 (DC)，攻陷凭据，之后在多个主机上植入Ngrok反向代理以维持持久性。”

FBI和CISA还提到，所有尚未修复VMware系统中Log4Shell 漏洞的组织机构应当假设自己已遭攻陷，并建议这些机构在网络中查找恶意活动。CISA在6月份提醒成，VMware Horizon 和 UAC服务器仍受多个威胁组织侵扰，其中不乏受国家支持的黑客组织。Log4Shell 可被远程用于攻击暴露到本地或互联网访问权限的易受攻击服务器，在受陷网络中横向移动，访问存储着敏感数据的内部系统。

国家黑客组织正在利用Log4Shell

在2021年12月发布后，Log4Shell 漏洞几乎立即遭到威胁组织的扫描和利用，其中包括国家黑客组织。

CISA当时也提醒使用易受攻击VMware服务器的组织机构假设自己已遭攻陷并启动威胁捕猎活动。VMware还在1月份督促客户尽快保护VMware Horizon 服务器免遭Log4Shell 攻击。

CISA和FBI在报告中强烈建议组织机构采取缓解和防护措施，包括：

• 将受影响VMware Horizon 和 UAG系统更新至最新版本

• 将组织机构面向互联网的攻击面最小化

• 演练、测试和验证所在组织机构安全计划针对映射到企业框架的MITRE ATT&CK 的威胁行为的情况。

• 测试所在组织机构现有安全控制对公告中提到的ATT&CK技术的效果。

代码卫士试用地址：https://codesafe.qianxin.com

开源卫士试用地址：https://oss.qianxin.com

推荐阅读

在线阅读版：《2022中国软件供应链安全分析报告》全文

在线阅读版：《2021中国软件供应链安全分析报告》全文

速修复！Apache Commons Text 存在严重漏洞，堪比Log4Shell

黑客组织利用Log4Shell 漏洞攻击美国能源企业

奇安信发布《2022中国软件供应链安全分析报告》 谁会成为下一个Log4j2？

微软：攻击者利用SolarWinds Serv-U 0day发动 Log4j 攻击

原文链接

https://www.bleepingcomputer.com/news/security/us-govt-iranian-hackers-breached-federal-agency-using-log4shell-exploit/

题图：Pexels License‍

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

 觉得不错，就点个 “在看” 或 "赞” 吧~