Нееднократно в „Калдата“ сме ви разказвали за новооткрити уязвимости, потенциално засягащи милиони системи по целия свят, които получават свой логотип и отличаващо ги гръмко име, като Row Hammer, Dirty Cow, CloudBleed и др., но и за чието действително експлоатиране не чуваме. Изглежда, че с Log4Shell, открития през миналата година проблем в изключително популярната библиотека Log4Shell за запис на събитията, случая не е такъв.

Американската агенция за киберсигурност и сигурност на инфраструктурата CISA алармира за инцидент, случил се през февруари, при който ирански ведомствени хакери са компрометирали уязвим на Log4Shell VMware Horizon сървър, разположен в мрежата на неназована американска правителствена агенция. Хакерите останали под радара на системите за сигурност в продължение на месеци, през което време успели да откраднат записи за вписване, да променят администраторски акаунти и даже инсталирали софтуер за копаене на крипто, при което използвали не разработен от тях софтуер, а свободно достъпни инструменти.

Както знаете, Log4Shell беше открит през ноември 2021, като по това време от CISA обявиха, че всички федерални агенции в САЩ трябва да наложат издадените обновления за уязвимостта до края на декември същата година. Изглежда обаче не всички са се вслушали в издадения от агенцията бюлетин.

След компрометирането на сървъра с помощта на Log4Shell, хакерите са инсталирали на системата XMRig, известен софтуер за добив на крипто, след което са се придвижили до VDI-KMS хоста на VMware и са свалили и инсталирали три популярни инструмента, като PsExec (за системна администрация), Mimikatz (за кражба на пароли) и Ngrok – реверсивно прокси, което им е позволило заобикаляне на защитната стена и установяване на трайно присъствие в мрежата. Заедно с това успели да променят паролите на няколко администраторски акаунта в случай, че създаденият от тях акаунт бъде засечен и се опитали да спрат LSASS процеса, което обаче било осуетено от антивирусна система, пишат The Register.


Коментирайте статията в нашите Форуми. За да научите първи най-важното, харесайте страницата ни във Facebook, и ни последвайте в Telegram и Viber или изтеглете приложението на Kaldata.com за Android, iOS и Huawei!

Абонирай се
Извести ме за
guest

2 Коментара
стари
нови оценка
Отзиви
Всички коментари