美国东部时间11月17日上午,美国、英国和澳大利亚政府机构联合发布的一份报告警告说,伊朗政府支持的威胁行动者正在利用Fortinet和Microsoft Exchange漏洞对美国以及澳大利亚的一些组织的关键基础设施进行攻击。该联合网络安全咨询公告是联邦调查局 (FBI)、网络安全和基础设施安全局 (CISA)、澳大利亚网络安全中心 (ACSC) 和英国国家网络安全中心 (NCSC) 多国协作分析的结果。
至少自2021年3月以来,已观察到攻击组织利用Fortinet漏洞进行攻击,并自2021年10月以来针对Microsoft Exchange ProxyShell漏洞进行初始突破。
联邦调查局(FBI)、网络安全和基础设施安全局(CISA)、澳大利亚网络安全中心(ACSC)、英国国家网络安全中心(NCSC)的联合咨询报告称,攻击目标包括美国和澳大利亚的运输、医疗保健和公共卫生部门。
2021年3月,观察到伊朗政府资助的APT行为体瞄准Fortinet FortiOS漏洞,如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812,以获得访问脆弱网络的权限。
在2021年5月,同样的攻击者利用了Fortigate设备中的一个漏洞,入侵了托管美国市政府域的web服务器,并创建了一个名为elie的帐户以保持对资源的访问。
2021年6月,伊朗APTs利用Fortigate设备攻陷了与美国一家儿童保健医院相关的网络。与伊朗政府网络活动相关的IP地址被发现用于其他有针对性的恶意活动。
从2021年10月开始,与伊朗政府有关联的攻击组织利用微软Exchange ProxyShell漏洞CVE-2021-34473,首次突破目标的环境。ACSC认为,APT组织在攻击澳大利亚实体时使用了同样的漏洞。微软Exchange服务器中被称为 ProxyShell的漏洞有4个,这些漏洞最初被黑客用作零日漏洞。但微软在 4 月份发布了针对这些漏洞的补丁。
在初始突破之后,攻击者可能修改Task Scheduler任务以执行有效负载,并在域控制器、活动目录、服务器和工作站上创建新帐户以实现持久的潜伏。
在攻击过程中,攻击者使用了各种工具来获取凭证。如经典的Mimikatz、特权升级(WinPEAS)、数据归档(WinRAR)和文件传输(FileZilla)。还使用了SharpWMI (Windows Management Instrumentation)。
另据微软最新的跟踪研究表明,伊朗网络攻击组织正在转向勒索攻击 。自2020年9月以来,每六到八周就会出现一波勒索软件攻击。俄罗斯通常被视为最大的网络犯罪勒索软件威胁的发源地,但来自朝鲜和伊朗的国家支持的攻击者也对勒索软件表现出越来越大的兴趣。据微软称,APT35还针对未打补丁的本地Exchange服务器和 Fortinet的FortiOS SSL VPN以部署勒索软件。其他网络安全公司去年检测到伊朗国家支持的黑客使用已知的Microsoft Exchange漏洞在电子邮件服务器和Thanos勒索软件上安装持久性网络外壳的勒索软件有所增加。CrowdStrike的研究表明,伊朗网络攻击组织已经意识到勒索软件作为一种网络攻击能力的潜力,能够以较低的成本,对受害者造成破坏性影响。
在联合咨询中,FBI、CISA、ACSC和NCSC敦促各组织立即对目标漏洞应用补丁、评估和更新黑白名单、落实数据备份的策略和过程、落实网络分区隔离、强化用户账户管理、落实双因素认证、强化口令质量、加强RDP类远程接入访问、升级反病毒应用等。它们还提供了损害指标(IoCs),以帮助检测潜在的损害,以及一系列缓解建议,以加强网络抵御潜在的攻击。
参考资源
1、https://www.securityweek.com/us-uk-and-australia-warn-iranian-apts-targeting-fortinet-microsoft-exchange-flaws
2、https://us-cert.cisa.gov/ncas/alerts/aa21-321a
3、https://www.zdnet.com/article/now-irans-state-backed-hackers-are-turning-to-ransomware/
声明:本文来自网空闲话,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。
