网络安全和基础设施安全局（CISA）和美国海岸警卫队网络司令部（CGCYBER）警告各组织，未打补丁的VMWare Horizon和统一访问网关（UAG）服务器仍受编号为CVE-2021-44228的漏洞影响，这个漏洞被广泛称为Log4Shell。

政府机构表示，该漏洞正被一系列的威胁者，包括国家支持的团体，用于攻击。作为这种利用的一部分，可疑的APT行为者在被破坏的系统中植入了加载器恶意软件，其中的嵌入式可执行文件可以实现远程指挥和控制。

在一次被证实的入侵事件中，这些APT行为者能够在网络内横向移动，获得对灾难恢复网络的访问，并收集和渗出敏感数据。在警报中详述的第二起事件中，CISA说它被迫进行了一次现场事件响应活动。在4月下旬开始并持续到5月的攻击中，CISA说它发现该组织已被多个威胁行为者团体所破坏。

据CISA称，其中一个团体自1月起就进入了该组织的网络，甚至可能更早。CISA补充说，它通过利用未打补丁的VMware Horizon服务器中的Log4Shell漏洞获得访问权。到1月30日，其中一个小组开始使用PowerShell脚本，并最终设法横向移动到其他生产环境的主机和服务器。然后，该小组能够使用被入侵的管理员账户来运行一个加载器恶意软件。

"加载器恶意软件似乎是SysInternals LogonSessions、Du或PsPing软件的修改版本。嵌入的可执行文件属于同一个恶意软件家族，在设计和功能上与658_dump_64.exe相似，并向远程操作者提供远程指挥和控制能力。