CISA 在联邦民事行政部门 （FCEB） 组织进行了事件响应活动，CISA 观察到可疑的高级持续性威胁 （APT） 活动。在事件响应活动过程中，CISA 确定网络威胁参与者利用未修补的 VMware Horizon 服务器中的 Log4Shell 漏洞，安装 XMRig 加密挖掘软件，横向移动到域控制器 （DC），破坏凭据，然后在多个主机上植入 Ngrok 反向代理以保持持久性。CISA和联邦调查局（FBI）评估FCEB网络是受到伊朗政府资助的APT行为者的破坏。

“攻击者通过利用未修补的VMware Horizon服务器中的Log4Shell漏洞，安装了XMRig加密挖掘软件，横向移动到域控制器DC，窃取凭据，在多个主机上植入了Ngrok反向代理用来保持攻击持久性”。

  入口的Log4j直接干穿内网

参考了MITRE ATT&CK for Enterprise框架版本 11

高清攻击复盘图在圈子里面

一个一经加入永久免费的圈子66.6元子