伊朗国家黑客滥用VPN漏洞，入侵全球企业内网植入后门

2019年，大量企业的 VPN 服务器中被指存在重大漏洞。以色列网络安全公司 ClearSky 不久前发布报告称，受伊朗政府支持的黑客组织去年把利用刚刚发布的VPN 漏洞当作首要任务，目的渗透全球范围内的企业并在其中植入后门。

报告指出，伊朗国家黑客针对的企业遍布“IT、电信、油气、航空、政府和安全行业”。

某些攻击发生在漏洞公开数小时后

报告指出，伊朗黑客组织同样复杂，而且和俄罗斯、朝鲜国家黑客组织等一样足智多谋，这一点和人们一贯的认识是不同的。

ClearSky公司指出，“伊朗 APT 组织已经开发出良好的技术攻击能力，而且能够在相对较短的时间内利用 1day 漏洞。”该公司指出，在某些实例中发现，VPN 缺陷遭公开数小时后，伊朗国家黑客就利用它们发动攻击。

报告指出2019年，伊朗黑客组织快速武器化如下多个 VPN 漏洞： Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。虽然针对这些系统的攻击始于漏洞被披露的去年夏天，但攻击仍在继续。

另外，随着其它 VPN 缺陷遭公开，伊朗黑客组织还将这些 exploit 利用到攻击活动中（即思杰“ADC” VPN 中的漏洞CVE-2019-19781）。

入侵企业目标植入后门

报告指出，这些攻击的目的是入侵企业网络，在内部系统中横向移动并在后续日期植入后门。

第一阶段的攻击（攻陷 VPN）针对的是 VPN，第二阶段（横向移动）涉及全面收集工具和技术，这说明近年来伊朗黑客组织变得高级。例如，它们会滥用长久已知的技术，通过“StickyKeys”访问性工具在Windows 系统上获取管理员权限。

它们还利用开源的黑客工具如 JuicyPotato 和 Invoke the Hash，而且使用合法的系统管理员软件如 Putty、Plink|Ngrok、Serveo 或 FRP。

另外，黑客如果找不到开源工具或本地工具助力，则会开发定制化恶意软件。报告指出发现了伊朗黑客组织使用的工具，如：

• STSRCheck：自开发数据库和开放端口映射工具

• POWSSHNET：自开发的用于 RDP-over-SSH 隧道的后门恶意软件

• Custom VBScripts：用于从命令和控制服务器下载 TXT 文件并将这些文件统一到可移植的可执行文件

• cs.exe 上基于套接字的后门：用于开放硬编码 IP 地址基于套接字连接的一个 EXE 文件

• Port.exe：扫描 IP 地址预定义端口的工具

多个黑客组织统一行动

报告指出，伊朗国家黑客组织似乎互相协作并统一行动，这种行为模式此前是未曾出现的。之前关于伊朗黑客活动的报告详细说明了活动的不同集群，通常是单个黑客组织所为。报告重点强调称，针对全球 VPN 服务器的攻击似乎至少由三个伊朗黑客组织联合所为，即 APT33（Elfin、Shamoon）、APT34 (Oilrig) 和APT39 (Chafer)。

数据清洗攻击

当前，这些攻击的目的似乎是执行侦察和为实施监控活动植入后门。

然而，报告指出这些受感染企业网络的所有访问权限未来也可被武器化，用于部署数据清洗恶意软件，从而蓄意破坏企业并使其宕机，导致业务受损。这些场景是可能发生的而且也说得通。自2019年9月以来，两款新型数据清洗恶意软件（ZeroCleare 和 Dustman）就已遭披露并被指和伊朗黑客组织有关。

另外，报告并不排除伊朗国家黑客组织可能利用了受陷企业访问权限从而在客户端实施供应链攻击的可能性。这一理论的支持事实是：本月早些时候，FBI 警告美国私营企业警惕针对软件供应链企业的攻击，“包括支持全球能源产出、传输和分发的工控系统的实体”。工控和能源行业过去一直是伊朗国家黑客组织的传统攻击目标。FBI 在这份警告中还说明了攻击中所部署的恶意软件和 APT33所使用代码之间的关联，强有力地说明了伊朗黑客可能是这些攻击幕后黑手的可能性。

另外，报告还指出，针对巴林国家石油公司 Bapco 的攻击也使用了相同的“攻陷 VPN →横向移动”的技术。ClearSky公司警告称，攻击过去数月时间后，最终修复其 VPN 服务器的公司应该扫描内网找到攻陷迹象。

报告中还提出了安全团队可用于扫描日志和内部系统以发现伊朗黑客组织入侵迹象的受陷指标 (IOCs)。

新型 VPN 缺陷

ClearSky在报告总结部分指出，预计伊朗国家黑客组织将在新型 VPN 缺陷遭公开后寻找利用它们的机会。也就是说预计伊朗国家黑客组织很可能会在未来利用 SonicWall SRA 和 SMA VPN 服务器，因为刚不久前安全研究员曾发布了关于影响这两款产品的六个漏洞的详情。

完整报告见：

https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign-v1.pdf

原文链接

https://www.zdnet.com/article/iranian-hackers-have-been-hacking-vpn-servers-to-plant-backdoors-in-companies-around-the-world/

声明：本文来自代码卫士，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。