Af Henrik Jensen, 12/07/22
VMware Horizon er en platform, der bruges af administratorer til at køre og levere virtuelle desktops og apps i hybridskyen, mens UAG giver sikker adgang til ressourcer i et netværk.
Ifølge CISA har hackere kompromitteret mindst ét internt netværk og udtrukket følsomme oplysninger. Som en del af kompromitteringen er der installeret "loader-malware" på de kompromitterede systemer. Loader-malware indeholdt bl.a. indlejrede eksekverbare filer til brug for "Command and Control (C2)" kommunikation.
Loader-malwaren kan fungere som en "C2-tunneling-proxy", der giver hackeren mulighed for at trække data fra andre systemer og at bevæge sig længere ind i et netværk. Det er desuden observert, at loader-malwaren opretter en "scheduleret task" som sættes til at eksekvere én gang i timen.
CISA og CGCYBER anbefaler flere handlinger, der bør udføres før og på kompromitterede systemer:
- Isoler kompromitteret system
- Analyser relevante log, data og enheder
- Al software skal opdateres og patches
- Reducer antallet af ikke-essentielle Internetvendte enheder og implementer DMZ med tilhørende strise netværksadgangskontroller
- Implementer god praksis for identitets- og adgangsstyring (IAM), bl.a. ved at indføre multifaktorautentificering (MFA)
- Brug stærke adgangskoder og begræns brugeradgang til "need to know" basis