El compromiso de una organización gubernamental de EE. UU. no identificada por parte de un actor iraní de amenazas persistentes avanzadas (APT) que explotó la vulnerabilidad Adobe Log4j Log4Shell en un servidor VMware Horizon ha llevado a renovar los llamados para que las organizaciones permanezcan alerta contra la amenaza aún altamente peligrosa, y provocó un oleada renovada de parches y remediación entre las muchas organizaciones que siguen expuestas.
En un aviso de seguridad cibernética (CSA) publicado el 16 de noviembre, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y el FBI revelaron que una organización no especificada en el Poder Ejecutivo Civil Federal (FCEB) había sido comprometida por un actor respaldado por Teherán. , que ingresó a sus sistemas a través de un servidor VMware Horizon que no estaba parcheado contra Log4Shell.
El incidente se descubrió durante el verano de 2022, aunque comenzó en febrero, cuando CISA estableció que la APT accedió a la red de su víctima e instaló el criptominero XMRig antes de moverse lateralmente al controlador de dominio (DC), desde donde comprometió las credenciales y luego implantó los proxies inversos de Ngrok en varios hosts para mantener la persistencia.
“CISA y el FBI alientan a todas las organizaciones con sistemas VMware afectados que no aplicaron de inmediato los parches o soluciones alternativas disponibles a asumir compromisos e iniciar actividades de búsqueda de amenazas”, dijo CISA en el aviso.
“Si se detecta un acceso inicial sospechoso o un compromiso basado en los IOC [indicators of compromise] o TTP [tactics, techniques and procedures] descrito en este CSA, CISA y el FBI alientan a las organizaciones a asumir el movimiento lateral de los actores de amenazas, investigar los sistemas conectados, incluido el DC, y auditar las cuentas privilegiadas.
“Todas las organizaciones, independientemente de la evidencia identificada de compromiso, deben aplicar las recomendaciones en la sección de mitigaciones de este CSA para protegerse contra actividades cibernéticas maliciosas similares”.
Si aún no lo han hecho, las organizaciones deben actualizar de inmediato sus servidores VMware Horizon afectados y los sistemas de puerta de enlace de acceso unificado (UAG) a la última versión; minimizar su superficie de ataque orientada a Internet; ejercitar, probar y validar programas de seguridad frente a los comportamientos asignados al marco MITRE ATT&CK for Enterprise; y probar los controles existentes contra las técnicas ATT&CK descritas.
Brian Fox, director de tecnología del especialista en seguridad de desarrollo de software Sonatype, dijo que la telemetría de su organización mostró que entre el 38% y el 40% de las descargas de Log4j aún eran vulnerables a Log4Shell; este número claramente habría sido mayor en febrero cuando ocurrió el compromiso específico.
“No es sorprendente que sigamos viendo que los grupos de APT lo usan como parte de su conjunto de herramientas. El aviso debería servir como una advertencia para todos en la industria, especialmente aquellos en el espacio federal, para no perder de vista seguir encontrando sistemas rezagados con versiones potencialmente vulnerables”, dijo Fox.
“Es por eso que los SBOM [software bill of materials] y las soluciones de análisis de composición de software de calidad son muy importantes: los desarrolladores y las organizaciones necesitan transparencia en cada elemento de sus cadenas de suministro de software para lograr soluciones eficientes y mantenerse seguros”.
Este ataque específico es probablemente el trabajo del grupo rastreado como Cobalt Mirage por Secureworks, Phosphorus y Charming Kitten por otros, que se sabe que favorece a Log4Shell y otras vulnerabilidades de alto perfil, siendo ProxyShell un favorito destacado.
La Unidad Contra Amenazas de Secureworks dijo que había identificado dos grupos distintos de ataques Cobalt Mirage, uno que implementaba el ransomware BitLocker y DiskCryptor de manera oportunista, y el otro se enfocaba en intrusiones dirigidas con fines de recopilación de inteligencia.
Ha demostrado una preferencia por atacar a las organizaciones israelíes, pero no es reacio a atacar a las víctimas en Asia-Pacífico, Europa y América del Norte.
Las fallas operativas de seguridad de la pandilla durante un incidente diferente revelaron que Cobalt Mirage está vinculado a un contratista privado alineado o incluso controlado por la Organización de Inteligencia del Cuerpo de la Guardia Revolucionaria de Irán (IRGC-IO).
“El patrón de empresas privadas iraníes que actúan como fachada o brindan apoyo a las operaciones de inteligencia iraníes está bien establecido”, escribió el equipo de Secureworks.
“El modelo de las funciones de inteligencia del gobierno iraní utilizando contratistas desdibuja las líneas entre las acciones encargadas por el gobierno y las acciones que la empresa privada realiza por iniciativa propia. Si bien parte de la actividad de Cobalt Mirage parece estar centrada en el espionaje, una parte significativa se centra en la generación de ingresos oportunistas a través de sus actividades de ransomware.
“Si bien estas empresas pueden trabajar con el IRGC-IO, los ataques de ransomware podrían ser otra fuente de ingresos que pueden buscar sin temor a ser enjuiciados por la policía iraní”.