國內知名網絡安全組織東方聯盟研究人員發表的一份新報告披露了過去三年來,伊朗政府資助的黑客針對以色列和世界各地數十家公司和組織的證據。網絡間諜活動被稱為“ Fox Kitten ”,針對的是來自IT,電信,石油和天然氣,航空,政府和安全部門的公司。
研究人員說: “我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。”,“揭露的戰役被用作偵察基礎設施;但是,研究人員將攻擊活動與威脅小組APT33,APT34和APT39捆綁在一起,使用開放源代碼和自行開發的工具進行了混合,從而促進了小組竊取敏感信息並利用供應鏈攻擊來針對其他組織,說過。
利用VPN缺陷危害企業網絡
伊朗集團採用的主要攻擊媒介是利用未修補的VPN漏洞來滲透和竊取目標公司的信息。以這種方式利用的著名 VPN系統包括Pulse Secure Connect(CVE-2019-11510),Palo Alto Networks的Global Protect(CVE-2019-1579),Fortinet FortiOS(CVE-2018-13379)和Citrix(CVE-2019- 19781)。
東方聯盟安全研究人員指出,通過利用“在相對較短的時間段內的1天漏洞”,黑客組織能夠成功獲取對目標核心系統的訪問權限,丟棄其他惡意軟件,並在網絡上橫向傳播。
成功獲得最初立足點後,發現受感染的系統可以與攻擊者控制的命令和控制(C2)服務器通信,以下載一系列自定義的VBScript文件,這些文件又可以用於植入後門程序。
此外,後門代碼本身就是分批下載的,以避免被安裝在受感染計算機上的防病毒軟件檢測到。這是一個單獨的下載文件(稱為“ combine.bat”)的工作,可以將這些單獨的文件拼接在一起並創建可執行文件。
為了執行這些任務並實現持久性,威脅參與者利用諸如Juicy Potato和Invoke the Hash之類的工具獲得高級特權並在網絡上橫向移動。攻擊者開發的其他一些工具包括:
STSRCheck-一種工具,用於映射目標網絡中的數據庫,服務器和開放端口,並通過使用默認憑據進行日誌記錄來對其進行暴力破解。Port.exe-掃描預定義端口和服務器的工具。
一旦攻擊者獲得了橫向移動能力,攻擊者便進入了最後階段:執行後門以掃描受感染系統以獲取相關信息,並通過建立遠程桌面連接(使用稱為POWSSHNET的自行開發的工具)將文件洩漏回攻擊者)或打開與硬編碼IP地址的基於套接字的連接。
此外,攻擊者使用Web Shell來與位於目標內部的服務器進行通信,並將文件直接上傳到C2服務器。
多個伊朗黑客團體的工作
根據戰役對網絡外殼的使用以及攻擊基礎設施的重疊情況,ClearSky報告強調指出,對VPN服務器的攻擊可能與三個伊朗組織相關聯-APT33(“ Elfin”),APT34(“ OilRig”)和APT39(Chafer )。
此外,研究人員評估了該活動是“基礎設施小組之間的合作”的結果,並指出了這三個小組在工具和工作方法上的相似之處。
就在上個月,伊朗政府支持的黑客組織“ Magnallium ”被發現針對美國電力公司以及石油和天然氣公司進行了密碼噴霧攻擊。鑑於攻擊者將在24小時內利用VPN漏洞進行武器攻擊,因此組織必須在可用時安裝安全補丁。(歡迎轉載分享)
閱讀更多 科技人物 的文章
