Een federale Amerikaanse overheidsinstantie is begin dit jaar via de Log4j-kwetsbaarheid besmet geraakt met een cryptominer. Ook installeerden de aanvallers software voor het stelen van inloggegevens en een proxytool om op afstand toegang tot de systemen te behouden. Dat melden de FBI en het Cybersecurity and Infrastructure Security Agency (CISA), onderdeel van het Amerikaanse ministerie van Homeland Security.

De Log4j-kwetsbaarheid was aanwezig in een VMware Horizon-server. De niet nader genoemde overheidsinstantie had de beschikbaar gestelde beveiligingsupdate niet tijdig geïnstalleerd. Nadat de aanvallers via het beveiligingslek toegang tot de server hadden gekregen installeerden ze eerst de cryptominer. Vervolgens gebruikten ze een ingebouwd Windows-account om via RDP verbinding met een VMware VDI-KMS host te maken.

Op deze host installeerden de aanvallers verschillende tools, waaronder PsExec, Mimikatz voor het stelen van inloggegevens en de reverse proxytool Ngrok. Via de inloggegevens die met Mimikatz werden gestolen maakten de aanvallers een malafide domeinbeheerder aan. Dit account werd vervolgens gebruikt om via RDP op andere systemen in te loggen, waar Windows Defender handmatig werd uitgeschakeld en Ngrok geïnstalleerd.

Ook wijzigden de aanvallers op verschillende systemen het wachtwoord van het lokale beheerdersaccount, mocht het malafide domeinbeheerdersaccount worden ontdekt en verwijderd. Om vanaf buiten toegang tot de systemen te krijgen maakten ze gebruik van de Ngrok-proxytool. Het CISA en de FBI adviseren organisaties om updates voor VMware Horizon te installeren. Mocht dat niet zijn gedaan in december 2021 toen de VMware-updates uitkwamen, dan moeten de systemen als gecompromitteerd worden beschouwd. Volgens de Amerikaanse overheidsinstanties is de aanval het werk van een door de Iraanse overheid gesponsorde groep.