当地时间16日，美国联邦调查局和CISA在联合公告中透露，一个未具名的伊朗支持的威胁组织入侵了联邦民事行政部门（FCEB）组织，以部署XMRig加密恶意软件。

据悉，攻击者利用Log4Shell (CVE-2021-44228) 远程代码执行漏洞，通过漏洞攻击未打补丁的 VMware Horizo​​n 服务器后，入侵了联邦网络。不仅在受攻击设备上部署加密货币旷工，还在受感染的服务器上设置反向代理，以维持 FCEB 机构网络内的持久性。

公告中，CISA强调确定网络威胁行为者利用未修补的 VMware Horizo​​n 服务器中的 Log4Shell 漏洞，安装 XMRig 加密挖掘软件，横向移动到域控制器 (DC)，破坏凭据，然后反向植入 Ngrok多个主机上的代理以保持持久性。[阅读原文]