網絡安全和基礎設施安全局(CISA)和美國海岸警衛隊網絡司令部(CGCYBER)警告各組織,未打補丁的VMWare Horizon和統一訪問網關(UAG)服務器仍受編號為CVE-2021-44228的漏洞影響,這個漏洞被廣泛稱為Log4Shell。
政府機構表示,該漏洞正被一系列的威脅者,包括國家支持的團體,用於攻擊。作為這種利用的一部分,可疑的APT行為者在被破壞的系統中植入了加載器惡意軟件,其中的嵌入式可執行文件可以實現遠程指揮和控制。
在一次被證實的入侵事件中,這些APT行為者能夠在網絡內橫向移動,獲得對災難恢復網絡的訪問,並收集和滲出敏感數據。在警報中詳述的第二起事件中,CISA說它被迫進行了一次現場事件響應活動。在4月下旬開始並持續到5月的攻擊中,CISA說它發現該組織已被多個威脅行為者團體所破壞。
據CISA稱,其中一個團體自1月起就進入了該組織的網絡,甚至可能更早。CISA補充說,它通過利用未打補丁的VMware Horizon服務器中的Log4Shell漏洞獲得訪問權。到1月30日,其中一個小組開始使用PowerShell腳本,並最終設法橫向移動到其他生產環境的主機和服務器。然後,該小組能夠使用被入侵的管理員賬戶來運行一個加載器惡意軟件。
“加載器惡意軟件似乎是SysInternals LogonSessions、Du或PsPing軟件的修改版本。嵌入的可執行文件屬於同一個惡意軟件家族,在設計和功能上與658_dump_64.exe相似,並向遠程操作者提供遠程指揮和控制能力。