ФБР и CISA в совместном информационном бюллетене сообщили, что неназванная угрожающая группа, “поддерживаемая Ираном”, взломала федеральную гражданскую исполнительную власть (FCEB) ради установки вредоносного ПО XMRig для криптомайнинга.

Злоумышленники проникли в федеральную сеть после взлома непропатченного сервера VMware Horizon с помощью эксплойта, направленного на уязвимость удаленного выполнения кода Log4Shell. После развертывания криптовалютного майнера хакеры также установили обратные прокси-серверы на взломанных серверах, чтобы сохранить постоянство в сети агентства FCEB.

Два федеральных агентства США добавили, что все организации, которые еще не исправили свои системы VMware против Log4Shell, должны считать, что они уже подверглись взлому, и посоветовали им начать поиск вредоносной активности в своих сетях.

Источник: Ferra