Un groupe de piratage anonyme parrainé par l’État iranien a réussi à compromettre les terminaux appartenant à une organisation de la branche exécutive civile fédérale américaine (FCEB) et a utilisé son accès pour déployer un mineur de crypto-monnaie.
L’Agence de la cybersécurité et des infrastructures (CISA) a publié (s’ouvre dans un nouvel onglet) les conclusions plus tôt cette semaine. Selon son rapport, la CISA a été amenée, à la mi-juin, à enquêter sur des soupçons d’activité de menace persistante avancée (APT).
Après une enquête d’un mois qui s’est terminée en juillet 2022, l’agence a conclu qu’un acteur de la menace parrainé par l’État iranien avait réussi à compromettre un serveur VMware Horizon non corrigé en exploitant la tristement célèbre vulnérabilité log4j, Log4Shell.
Application de correctifs aux systèmes VMware
Le groupe a utilisé l’accès pour installer XMRig, un mineur de crypto-monnaie connu qui utilise la puissance de calcul de l’appareil pour générer Monero, une crypto-monnaie axée sur la confidentialité qu’il est presque impossible de suivre et de tracer.
Les acteurs se sont également déplacés latéralement vers le contrôleur de domaine (DC), ont compromis les informations d’identification, puis ont implanté des proxys inverses Ngrok, sur plusieurs hôtes, afin de maintenir la persistance sur le réseau.
Suite à la publication de ces conclusions, CISA, en collaboration avec le FBI, a exhorté toutes les organisations disposant de systèmes VMware similaires à appliquer immédiatement les correctifs disponibles ou à charger des solutions de contournement connues.
Toutes les organisations ayant des systèmes VMware concernés ont été invitées à « assumer la compromission » et à lancer des activités de chasse aux menaces.
« Si un accès ou un compromis initial suspecté est détecté sur la base des IOC ou des TTP décrits dans cette CSA, la CISA et le FBI encouragent les organisations à assumer le mouvement latéral des acteurs de la menace, à enquêter sur les systèmes connectés (y compris le DC) et à auditer les comptes privilégiés », indique l’annonce. .
« Toutes les organisations, quelles que soient les preuves de compromission identifiées, doivent appliquer les recommandations de la section Atténuations de cette CSA pour se protéger contre des cyberactivités malveillantes similaires. »
Log4Shell, qui a été découvert pour la première fois à la fin de l’année dernière, a été décrit par la directrice de CISA, Jen Easterly, comme « l’une des vulnérabilités les plus graves, sinon la plus grave » qu’elle ait jamais vue.