Gli attori delle minacce sponsorizzati dal governo iraniano sono stati accusati di aver compromesso un’agenzia federale statunitense sfruttando la vulnerabilità Log4Shell in un server VMware Horizon non patchato. “Gli attori delle minacce informatiche hanno sfruttato la vulnerabilità Log4Shell in un server VMware Horizon privo di patch, hanno installato il software di crypto mining XMRig, si sono spostati lateralmente verso il controller di dominio (DC), hanno compromesso le credenziali e poi hanno impiantato reverse proxy Ngrok su diversi host per mantenere la persistenza”, ha osservato la CISA. LogShell, alias CVE-2021-44228, è una falla critica per l’esecuzione di codice remoto nella libreria di logging Apache Log4j, basata su Java e ampiamente utilizzata. È stata risolta dai manutentori del progetto open source nel dicembre 2021. L’ultimo sviluppo segna il continuo abuso delle vulnerabilità di Log4j nei server VMware Horizon da parte di gruppi sponsorizzati dallo Stato iraniano dall’inizio dell’anno. Il CISA non ha attribuito l’evento a un particolare gruppo di hacker. Tuttavia, un advisory congiunto rilasciato da Australia, Canada, Regno Unito e Stati Uniti nel settembre 2022 ha puntato il dito contro il Corpo delle Guardie Rivoluzionarie Islamiche (IRGC) dell’Iran per aver sfruttato la falla per svolgere attività di post-exploitation. Si ritiene che l’organizzazione colpita, secondo il CISA, sia stata violata già nel febbraio 2022 sfruttando la vulnerabilità per aggiungere una nuova regola di esclusione a Windows Defender che consentiva di elencare l’intera unità C:. In questo modo l’avversario ha potuto scaricare uno script PowerShell senza attivare alcuna scansione antivirus che, a sua volta, ha recuperato il software di estrazione di criptovalute XMRig ospitato su un server remoto sotto forma di file di archivio ZIP.
L’accesso iniziale ha permesso agli attori di recuperare altri payload come PsExec, Mimikatz e Ngrok, oltre a utilizzare RDP per il movimento laterale e disabilitare Windows Defender sugli endpoint. “Gli attori della minaccia hanno anche modificato la password dell’account amministratore locale su diversi host come backup nel caso in cui l’account amministratore di dominio illecito fosse stato individuato e terminato”, ha osservato la CISA. È stato inoltre rilevato un tentativo infruttuoso di scaricare il processo LSASS (Local Security Authority Subsystem Service) utilizzando il Task Manager di Windows, che è stato bloccato dalla soluzione antivirus implementata nell’ambiente IT. In un rapporto del mese scorso, Microsoft ha rivelato che i criminali informatici prendono di mira le credenziali del processo LSASS perché “può memorizzare non solo le credenziali del sistema operativo di un utente corrente, ma anche quelle di un amministratore di dominio”. “Il dump delle credenziali LSASS è importante per gli aggressori perché, se riescono a scaricare le password di dominio, possono, ad esempio, utilizzare strumenti legittimi come PsExec o Windows Management Instrumentation (WMI) per muoversi lateralmente attraverso la rete”, ha dichiarato il gigante tecnologico.
