Des acteurs de la menace parrainés par le gouvernement iranien ont été accusés d’avoir compromis une agence fédérale américaine en profitant de la vulnérabilité Log4Shell dans un serveur VMware Horizon non corrigé. Les détails, qui ont été partagés par l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA), viennent en réponse aux efforts de réponse aux incidents entrepris par l’autorité de la mi-juin à la mi-juillet 2022. « Les acteurs de la cyber-menace ont exploité la vulnérabilité Log4Shell dans un serveur VMware Horizon non corrigé, installé le logiciel de crypto-minage XMRig, déplacé latéralement vers le contrôleur de domaine (DC), compromis les informations d’identification, puis implanté des proxys inverses Ngrok sur plusieurs hôtes pour maintenir la persistance », a noté la CISA. . LogShell, alias CVE-2021-44228, est une faille critique d’exécution de code à distance dans la bibliothèque de journalisation Java Apache Log4j largement utilisée. Il a été abordé par les mainteneurs du projet open source en décembre 2021. Le dernier développement marque l’abus continu des vulnérabilités Log4j dans les serveurs VMware Horizon par des groupes parrainés par l’État iranien depuis le début de l’année. La CISA n’a pas attribué l’événement à un groupe de piratage particulier. Cependant, un avis conjoint publié par l’Australie, le Canada, le Royaume-Uni et les États-Unis en septembre 2022 a pointé du doigt le Corps des gardiens de la révolution islamique (CGRI) iranien pour avoir tiré parti de cette lacune pour mener des activités post-exploitation. L’organisation affectée, selon la CISA, aurait été violée dès février 2022 en militarisant la vulnérabilité pour ajouter une nouvelle règle d’exclusion à Windows Defender qui a inscrit l’intégralité du lecteur C:\ sur la liste d’autorisation. Cela a permis à l’adversaire de télécharger un script PowerShell sans déclencher d’analyse antivirus, qui, à son tour, a récupéré le logiciel d’extraction de crypto-monnaie XMRig hébergé sur un serveur distant sous la forme d’un fichier d’archive ZIP. L’accès initial a en outre permis aux acteurs de récupérer davantage de charges utiles telles que PsExec, Mimikatz et Ngrok, en plus d’utiliser RDP pour les mouvements latéraux et de désactiver Windows Defender sur les terminaux. « Les acteurs de la menace ont également changé le mot de passe du compte d’administrateur local sur plusieurs hôtes en guise de sauvegarde si le compte d’administrateur de domaine non autorisé était détecté et résilié », a noté la CISA. Une tentative infructueuse de vidage du processus LSASS (Local Security Authority Subsystem Service) à l’aide du Gestionnaire des tâches de Windows a également été détectée, ce qui a été bloqué par la solution antivirus déployée dans l’environnement informatique. Microsoft, dans un rapport du mois dernier, a révélé que les cybercriminels ciblent les informations d’identification dans le processus LSASS en raison du fait qu’il « peut stocker non seulement les informations d’identification du système d’exploitation d’un utilisateur actuel, mais également celles d’un administrateur de domaine ». « Le vidage des informations d’identification LSASS est important pour les attaquants car s’ils réussissent à vider les mots de passe du domaine, ils peuvent, par exemple, utiliser des outils légitimes tels que PsExec ou Windows Management Instrumentation (WMI) pour se déplacer latéralement sur le réseau », a déclaré le géant de la technologie.