(資料圖片僅供參考)

網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）和美國海岸警衛(wèi)隊(duì)網(wǎng)絡(luò)司令部（CGCYBER）警告各組織，未打補(bǔ)丁的VMWare Horizon和統(tǒng)一訪問網(wǎng)關(guān)（UAG）服務(wù)器仍受編號(hào)為CVE-2021-44228的漏洞影響，這個(gè)漏洞被廣泛稱為L(zhǎng)og4Shell。

訪問：

阿里云復(fù)工專屬福利首購1元起

政府機(jī)構(gòu)表示，該漏洞正被一系列的威脅者，包括國家支持的團(tuán)體，用于攻擊。作為這種利用的一部分，可疑的APT行為者在被破壞的系統(tǒng)中植入了加載器惡意軟件，其中的嵌入式可執(zhí)行文件可以實(shí)現(xiàn)遠(yuǎn)程指揮和控制。

在一次被證實(shí)的入侵事件中，這些APT行為者能夠在網(wǎng)絡(luò)內(nèi)橫向移動(dòng)，獲得對(duì)災(zāi)難恢復(fù)網(wǎng)絡(luò)的訪問，并收集和滲出敏感數(shù)據(jù)。在警報(bào)中詳述的第二起事件中，CISA說它被迫進(jìn)行了一次現(xiàn)場(chǎng)事件響應(yīng)活動(dòng)。在4月下旬開始并持續(xù)到5月的攻擊中，CISA說它發(fā)現(xiàn)該組織已被多個(gè)威脅行為者團(tuán)體所破壞。

據(jù)CISA稱，其中一個(gè)團(tuán)體自1月起就進(jìn)入了該組織的網(wǎng)絡(luò)，甚至可能更早。CISA補(bǔ)充說，它通過利用未打補(bǔ)丁的VMware Horizon服務(wù)器中的Log4Shell漏洞獲得訪問權(quán)。到1月30日，其中一個(gè)小組開始使用PowerShell腳本，并最終設(shè)法橫向移動(dòng)到其他生產(chǎn)環(huán)境的主機(jī)和服務(wù)器。然后，該小組能夠使用被入侵的管理員賬戶來運(yùn)行一個(gè)加載器惡意軟件。

"加載器惡意軟件似乎是SysInternals LogonSessions、Du或PsPing軟件的修改版本。嵌入的可執(zhí)行文件屬于同一個(gè)惡意軟件家族，在設(shè)計(jì)和功能上與658_dump_64.exe相似，并向遠(yuǎn)程操作者提供遠(yuǎn)程指揮和控制能力。

關(guān)鍵詞： CISA和美國海岸警衛(wèi)隊(duì)警告外界當(dāng)心Log4Shell攻擊 cnBeta