• 2025-11-13 18:53:02

伊朗黑客利用Log4Shell漏洞入侵美国政府网络

关键要点

CISA网络安全和基础设施安全局负责人Jen Easterly于2022年3月22日在华盛顿的美国海岸警卫队总部参与一场领导力小组讨论。根据美国网络安全官员的说法，伊朗政府支持的黑客在今年早些时候利用Log4Shell漏洞入侵了一家美国政府机构的网络，部署了加密货币挖矿软件并窃取了凭据。

这一细节在联邦国土安全部、CISA和FBI于周三发布的联合警告中被披露。报告显示，黑客于2月份突破了一台未打补丁的VMware Horizon服务器，而美国安全官员则于6月份开始进行网络清理。

“网络威胁行为者利用了未打补丁的VMware Horizon服务器，安装了XMRig加密挖矿软件，横向移动至域控制器DC，并窃取了凭据，随后在多个主机上植入Ngrok反向代理以维持持续性，”警告中指出。

华盛顿邮报引述匿名来源，报道称，受影响的机构是美国优胜选系统保护委员会，而负责此事件的黑客组织被称为Nemesis Kitten。

该警告还提醒各组织如果未对Log4j的易受攻击版本进行补丁，应该假定自己已遭到破坏。

Log4j漏洞对组织的威胁依旧存在

此次攻击突显了Log4j漏洞的持续存在，一年前这一漏洞曾引发全球关注，目前仍对许多组织构成主动威胁，CISA在去年末警告称，该漏洞可能仍影响数亿设备。

“Log4j特别难以识别和修补，因为它可能作为深层依赖组件嵌入到公司购买和操作的软件中，这些公司缺乏找到和修补此类漏洞的资源，”Synopsys软件完整性组的软件安全顾问Jamie Boote告诉SC Media。

然而，联邦机构本应根据CISA管理的GitHub代码库，列举所有受该漏洞影响的软件资产，并优先修补，此举是为了响应去年CISA颁布的紧急行动指令。这项命令随后被纳入该机构的已知已被利用漏洞数据库，要求民用联邦机构在两周内识别和修补漏洞。

SC Media向CISA询问，为什么未能在遵循该命令的过程中识别和补救脆弱软件，CISA并没有直接回应。

“虽然政府和私营部门的组织急切行动，旨在减轻运行易受攻击的Log4j版本的资产，但我们知道恶意网络行为者迅速行动，继续利用脆弱资产。警告中描述的事件反映了CISA、FBI与联邦机构之间持续的合作努力，旨在减少可被利用的条件并快速检测和修复入侵，”CISA网络安全执行助理主任Eric Goldstein在一封邮件中告诉SC