Desde mediados de junio hasta mediados de julio de 2022, CISA realizó un compromiso de respuesta a incidentes en una organización de la Rama Ejecutiva Civil Federal (FCEB) donde CISA observó actividad sospechosa de amenaza persistente avanzada (APT). En el curso de las actividades de respuesta a incidentes, CISA determinó que los actores de amenazas cibernéticas explotaron la vulnerabilidad Log4Shell en un servidor VMware Horizon sin parches, instalaron el software de criptominería XMRig, se movieron lateralmente al controlador de dominio (DC), comprometieron las credenciales y luego implantaron proxies inversos Ngrok en varios hosts para mantener la persistencia. CISA y la Oficina Federal de Investigaciones (FBI) evalúan que la red FCEB fue comprometida por actores APT patrocinados por el gobierno iraní.
CISA y el FBI están publicando este Aviso de seguridad cibernética (CSA) que proporciona las tácticas, técnicas y procedimientos (TTP) e indicadores de compromiso (IOC) de los presuntos actores patrocinados por el gobierno iraní para ayudar a los defensores de la red a detectar y proteger contra compromisos relacionados.
CISA y el FBI alientan a todas las organizaciones con sistemas VMware afectados que no aplicaron inmediatamente los parches o soluciones alternativas disponibles a asumir compromisos e iniciar actividades de búsqueda de amenazas. Si se detecta un acceso o compromiso inicial sospechoso en base a los IOC o TTP descritos en este CSA, CISA y el FBI alientan a las organizaciones a asumir el movimiento lateral de los actores de amenazas, investigar los sistemas conectados (incluido el DC) y auditar las cuentas privilegiadas. Todas las organizaciones, independientemente de la evidencia identificada de compromiso, deben aplicar las recomendaciones en la sección Mitigaciones de este CSA para protegerse contra actividades cibernéticas maliciosas similares.
Para obtener más información sobre la actividad cibernética maliciosa iraní patrocinada por el gobierno iraní, consulte la página web de información general y avisos sobre amenazas cibernéticas de Irán de CISA y la página web de amenazas de Irán del FBI.
Leer más en CISA
