警惕！与伊朗相关的黑客组织持续攻击关键基础设施

大家好，我是紫队安全研究。建议大家把公众号“紫队安全研究”设为星标，否则可能就无法及时看到啦！因为公众号现在只对常读和星标的公众号才能大图推送。操作方法：先点击上面的“紫队安全研究”，然后点击右上角的【...】,然后点击【设为星标】即可。

近年来，全球网络安全形势不断演变，特别是针对关键基础设施的攻击越来越频繁。最近，美国、澳大利亚和加拿大的情报与网络安全机构发布警告，称与伊朗相关的威胁行为者正在通过暴力破解和密码喷射攻击，展开为期一年的攻击活动，目标锁定医疗、政府、信息技术、工程和能源等关键基础设施组织。

攻击手法：暴力破解与MFA轰炸

根据联合报告，这些攻击者自2023年10月以来，试图侵入用户账户，以获取对组织网络的访问权限。攻击者不仅利用暴力破解方法，还使用了一种名为MFA轰炸的技术。

MFA轰炸是一种攻击手法，攻击者向受害者的设备（如智能手机或计算机）不断发送多因素认证（MFA）推送通知，试图通过淹没或烦扰用户，使其不小心批准其中一个请求。攻击者通常已掌握受害者的用户名和密码，通过这种方式获得访问权限。

如何保持持久访问？

一旦成功入侵，攻击者会修改MFA注册，以保持持久访问，并进行网络探测，获取凭证以扩大在受害系统内的访问权限。他们通常使用有效的用户和组邮箱账号，借此获得对Microsoft 365、Azure和Citrix系统的初步访问。

此外，攻击者还利用远程桌面协议（RDP）进行横向移动，并在某些情况下，利用Microsoft Word打开PowerShell以启动RDP程序。

数据外泄与安全隐患

在攻击过程中，伊朗黑客甚至使用了msedge.exe连接到Cobalt Strike Beacon进行指挥与控制，窃取与远程访问和组织库存相关的文件，可能是为了保持持久访问或在线出售数据。

推荐阅读：知识星球连载创作"全球高级持续威胁：网络世界的隐形战争"，总共26章，相信能够为你带来不一样的世界认知，欢迎感兴趣的朋友加入沟通交流。

欢迎喜欢文章的朋友点赞、转发、赞赏，你的每一次鼓励，都是我继续前进的动力。

原文始发于微信公众号（紫队安全研究）：警惕！与伊朗相关的黑客组织持续攻击关键基础设施