Wouter Hoeffnagel - 18 november 2022

Iraanse staatshackers waren maanden actief op Amerikaanse overheidsnetwerk

Een ongepatchte Log4j-kwetsbaarheid is door Iraanse staatshackers gebruikt om toegang te verkrijgen tot een Amerikaanse overheidsnetwerk. Hier maakte zij wachtwoorden buit, wijzigde wachtwoorden en gebruikten het netwerk voor het minen van cryptovaluta. De aanvallers bleven maanden ongedetecteerd.

Het Amerikaanse CISA meldt advanced persistent threat (APT)-activiteit te hebben gedetecteerd op het netwerk van een niet geïdentificeerde Amerikaanse overheidsdienst. De activiteit is in april gedetecteerd, maar nu pas naar buiten gebracht. Op basis van een analyse schrijven CISA en de FBI de aanval toe aan Iraanse staatshackers.

Log4j

De aanvallers wisten in februari toegang te krijgen tot het overheidsnetwerk door gebruik van Log4Shell. Dit is een kwetsbaarheid in Apache Log4j die in november 2021 is ontdekt. De kwetsbaarheid is verholpen via een update, maar een VMware Horizon-server van de overheidsdienst bleek niet up-to-date te zijn. Dit ondanks dat CISA eind december alle federale overheidsdiensten in de VS opdracht heeft gegeven de kwetsbaarheid te patchen.

Eenmaal op het netwerk binnengedrongen installeerde de aanvallers XMRig, waarmee zij cryptovaluta hebben geminet. Later kregen zij toegang tot een VMware VDI-KMS host, waar zij een door Microsoft ondertekende tool voor systeembeheerders genaamd PsExec downloadde. In combinatie met Mimikatz zetten de aanvallers deze tool in voor het stelen voor inloggegevens. Via de reserve proxy tool Ngrok wisten zij firewalls te omzeilen en toegang tot het netwerk te behouden. Ook het wachtwoord van het lokale beheerdersaccount is op meerdere hosts door de aanvallers gewijzigd.

Meer informatie is beschikbaar op de website van CISA.

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024

Wil jij dagelijkse updates?

Schrijf je dan in voor onze nieuwsbrief!