Cibercriminales explotaron una vulnerabilidad no abordada en la red de una agencia federal estadunidense para comprometer las credenciales de los usuarios e instalar software de minería de criptomonedas en su sistema.
Así lo reportaron la semana pasada, mediante un aviso de ciberseguridad (CSA), la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA, por sus siglas en inglés) y el FBI de manera conjunta.
En la alerta, las dependencias acusaron a “actores de amenazas persistentes avanzadas (APT) patrocinados por el Gobierno iraní de estar detrás del ataque, aunque no lo atribuyó a ningún grupo en particular.
Informaron que entre junio y julio pasados realizó acciones de respuesta, pese a que se dio cuenta por primera vez de la brecha en abril de 2022, cuando realizó un análisis de la red de la agencia con EINSTEIN, un “sistema de detección de intrusos para todo el [poder ejecutivo civil federal]”.
En dicho análisis identificó “tráfico bidireccional entre la red y una dirección IP maliciosa conocida asociada con la explotación de la vulnerabilidad Log4Shell”.
“En el curso de las actividades de respuesta, CISA determinó que explotaron la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominería XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos Ngrok en varios hosts para mantener la persistencia”, detalló.
FBI y otras agencias de EU lanzan advertencia por ransomware de Daixin Team
Recomiendan iniciar actividades de búsqueda
La CISA y el FBI exhortaron a todas las organizaciones con sistemas VMware afectados que no aplicaron inmediatamente los parches o soluciones alternativas disponibles a asumir compromisos e iniciar actividades de búsqueda de amenazas.
“Si se detecta un acceso o compromiso inicial sospechoso en base a los IOC o TTP descritos en este CSA, CISA y el FBI alientan a las organizaciones a asumir el movimiento lateral de los actores de amenazas, investigar los sistemas conectados (incluido el DC) y auditar las cuentas privilegiadas”.
Señalaron que todas las organizaciones, independientemente de la evidencia identificada de compromiso, deben aplicar las recomendaciones para protegerse contra actividades cibernéticas maliciosas similares.