【安全圈】伊朗黑客入侵美国政府网络“挖矿”！

关键词

CISA

11月16时，美国网络安全和基础设施安全局（CISA）报告，伊朗政府支持的APT参与者破坏联邦网络，部署加密矿工和凭证收集器。

2022年6月中旬到7月中旬，CISA在联邦民事行政部门（FCEB）组织进行了事件响应活动，CISA观察到可疑的高级持续性威胁（APT）活动。

2022年2月，黑客利用未修补的VMware Horizon 服务器中的 Log4Shell 漏洞，进行初始访问，他们安装 XMRig 加密挖掘软件，横向移动到域控制器 （DC），破坏凭据，然后在多个主机上植入 Ngrok 反向代理以保持持久性。

CISA和联邦调查局（FBI）评估，FCEB网络受到伊朗政府资助的APT行为者的破坏。

CISA和FBI正在发布此网络安全咨询（CSA），提供可疑的伊朗政府资助的行为者的策略、技术和程序（TTP）以及入侵指标（IOC），以帮助网络防御者检测并防止相关入侵。

CISA 和 FBI 鼓励所有具有受影响 VMware 系统，且未立即应用可用修补程序或变通办法的组织，假定入侵并启动威胁搜寻活动。

CNN报道，黑客利用对美国政府网络的访问权限，安装生产加密货币的软件，在实施制裁的背景下，这对伊朗公民来说，可能是有用的收入。