Иранская
Усовершенствованная постоянная угроза (APT) — это скрытая угроза, за которой обычно стоит национальное государство или спонсируемая государством группа, которая получает несанкционированный доступ к компьютерной сети и остается незамеченной в течение длительного периода времени. В последнее время этот термин может также относиться к нефинансируемым государством группам, осуществляющим крупномасштабные целевые вторжения для достижения определенных целей.
Мотивы таких субъектов угрозы обычно носят политический или экономический характер.
» data-html=»true» data-original-title=»APT»>APT-группировка получила доступ к серверу федерального агентства США, используя печально известную Log4Shell ( CVE-2021-44228 ) — уязвимость нулевого дня в Log4j , популярной среде ведения журналов Java , связанная с выполнением произвольного кода. Раскрытие уязвимости вызвало бурную реакцию экспертов по кибербезопасности. Большинство экспертов, занимающихся кибербезопасностью, считают, что эксплойт был «самой большой и самой критической уязвимостью из когда-либо существовавших».
» data-html=»true» data-original-title=»Log4Shell»>Log4Shell. Эксперты предполагают, что хакерская операция началась в феврале 2022 года, после чего была раскрыта CISA два месяца спустя.
Согласно совместному отчету , опубликованному CISA и ФБР, хакеры воспользовались Log4Shell, чтобы проникнуть на уязвимый сервер VMware Horizon, после чего развернули на нем криптомайнер XMRig. Затем злоумышленники переместились на контроллер домена, скомпрометировали учетные данные и внедрили сервис Ngrok на несколько хостов, чтобы закрепиться в системе.
Ngrok – это сервис, который позволяет открыть доступ к внутренним ресурсам машины, на которой он запущен, из внешней сети, путем создания публичного адреса, все запросы на который будут переброшены на локальный адрес и заданный порт.
Правоохранительные органы не сообщили, какая федеральная организация стала жертвой хакеров, сказав лишь, что она является одним из агентств (Federal Civilian Executive Branch Agencies, FCEB).
Кроме того, в отчете CISA и ФБР призвали все организации с потенциально уязвимыми системами VMware немедленно применить все доступные обновления или обходные пути, задуматься о возможной компрометации и просканировать системы на вредоносное ПО и следы взлома.