伊朗APT组织如何通过一个Log4j打穿美国政府内网
2022-12-15 08:2:40 Author: 李白你好(查看原文) 阅读量:35 收藏

免责声明

由于传播、利用本公众号夜组安全所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号夜组安全及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!

攻击情报

01

前言

CISA 在联邦民事行政部门 (FCEB) 组织进行了事件响应活动,CISA 观察到可疑的高级持续性威胁 (APT) 活动。在事件响应活动过程中,CISA 确定网络威胁参与者利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞,安装 XMRig 加密挖掘软件,横向移动到域控制器 (DC),破坏凭据,然后在多个主机上植入 Ngrok 反向代理以保持持久性。CISA和联邦调查局(FBI)评估FCEB网络是受到伊朗政府资助的APT行为者的破坏。

02

攻击路线图

“攻击者通过利用未修补的VMware Horizon服务器中的Log4Shell漏洞,安装了XMRig加密挖掘软件,横向移动到域控制器DC,窃取凭据,在多个主机上植入了Ngrok反向代理用来保持攻击持久性”。

  入口的Log4j直接干穿内网

03

技术细节

参考了MITRE ATT&CK for Enterprise框架版本 11

04

来源

05

安全资讯WiKi

高清攻击复盘图在圈子里面

一个一经加入永久免费的圈子66.6元子


文章来源: http://mp.weixin.qq.com/s?__biz=MzkwMzMwODg2Mw==&mid=2247495991&idx=1&sn=d31d8898b8bb409f3ed57880da5733f7&chksm=c09a8267f7ed0b71cb0ae14dd20a684744c51da8be045a5be332e41246ca44394f8302d02311#rd
如有侵权请联系:admin#unsafe.sh