伊朗黑客充当贩卖美国、加拿大和澳大利亚等国家关键基础设施访问权的经纪人

admin 2024年10月30日19:37:05评论11 views字数 1852阅读6分10秒阅读模式

伊朗黑客充当贩卖美国、加拿大和澳大利亚等国家关键基础设施访问权的经纪人

伊朗黑客正在入侵关键基础设施组织,收集可以在网络犯罪论坛上出售的凭证和网络数据,以帮助其他威胁行为者发动网络攻击。
美国、加拿大和澳大利亚的政府机构认为,伊朗黑客充当初始访问代理,并使用暴力破解技术获取医疗保健和公共卫生 (HPH)、政府、信息技术、工程和能源领域的组织的访问权限。
伊朗准入经纪人
美国网络防御局 (CISA) 发布的一份咨询报告描述了伊朗黑客用于入侵网络和收集数据以提供额外接入点的最新活动和方法。
该警报由美国联邦调查局 (FBI)、CISA、国家安全局 (NSA)、加拿大通信安全局 (CSE)、澳大利亚联邦警察局 (AFP) 和澳大利亚信号局的澳大利亚网络安全中心 (ASD 的 ACSC) 共同发布。
“自 2023 年 10 月以来,伊朗攻击者一直使用暴力手段,例如密码喷洒和多因素身份验证 (MFA)‘推送轰炸’来破坏用户帐户并获取对组织的访问权限”——联合网络安全咨询
侦察阶段之后,攻击者的目标是获得对目标网络的持续访问权,通常使用暴力破解技术。
后续活动包括收集更多凭证、提升权限以及了解被破坏的系统和网络,这使他们能够横向移动并识别其他访问和利用点。
政府机构尚未发现此类攻击所使用的所有方法,但确定在某些情况下,黑客使用密码喷洒来访问有效的用户和群组帐户。
根据该通报,伊朗黑客还使用了一些尚未确定的方法来获取对 Microsoft 365、Azure 和 Citrix 环境的初始访问权限。
一旦获得帐户访问权限,攻击者通常会尝试将他们的设备注册到组织的 MFA 系统中。
在两起已确认的入侵事件中,攻击者利用受感染用户的 MFA 开放注册来注册攻击者自己的设备以访问环境。
在另一个已确认的入侵事件中,攻击者使用与面向公众的 Active Directory 联合身份验证服务 (ADFS) 相关联的自助密码重置 (SSPR) 工具来重置密码过期的帐户,然后通过 Okta 为尚未启用 MFA 的受入侵帐户注册 MFA。
通过远程桌面协议 (RDP) 进行网络传输,有时使用通过 Microsoft Word 打开的 PowerShell 部署必要的二进制文件。
目前尚不清楚伊朗黑客如何收集额外凭证,但据信这一步骤是借助开源工具窃取 Kerberos 票证或检索 Active Directory 帐户完成的。
政府机构表示,为了提升系统权限,黑客试图“通过利用微软的 Netlogon(也称为”Zerologon”)权限提升漏洞 (CVE-2020-1472)”冒充域控制器。
在所有的分析攻击中,攻击者依靠系统上可用的工具来收集有关域控制器、受信任域、管理员列表、企业管理员、网络上的计算机、它们的描述和操作系统的详细信息。
在 8 月份的另一份咨询报告中,美国政府警告称,一名伊朗攻击者涉嫌获得美国各组织网络的初步访问权限,该威胁行为者据信受到政府支持
该攻击者在通信链路中使用了别名 Br0k3r 和用户名“xplfinder”。报告指出,他们向全球众多网络提供了“完整的域控制权限以及域管理员凭据”。
Br0k3r 在私营部门被称为 Pioneer Kitten、Fox Kitten、UNC757、Parisite、RUBIDIUM 和 Lemon Sandstorm,他们与勒索软件分支机构合作,从受感染组织(例如学校、市政府、金融机构和医疗机构)收取一定比例的赎金。
检测暴力破解尝试
联合咨询建议各组织审查有效账户的登录失败的身份验证日志,并将搜索范围扩大到多个账户。
如果攻击者利用虚拟基础设施上的受损凭证,组织应该寻找所谓的“不可能的登录”,其中更改的用户名、用户代理或 IP 地址与用户的典型地理位置不匹配。
潜在入侵尝试的另一个迹象是将同一个 IP 用于多个帐户,或使用来自不同位置的 IP,并且其频率不允许用户长途跋涉。
此外,这些机构建议:
  • 在意想不到的区域或陌生的设备中寻找 MFA 注册
  • 查找可能指示凭据转储的进程和程序执行命令行参数,尤其是尝试从域控制器访问或复制 ntds.dit 文件
  • 重置密码或应用用户帐户缓解措施后检查可疑特权帐户的使用情况
  • 调查通常处于休眠状态的账户中的异常活动
  • 扫描不寻常的用户代理字符串,例如通常与正常用户活动不相关的字符串,这可能表示存在机器人活动
联合咨询还提供了一系列缓解措施,旨在提高组织针对伊朗黑客活动中观察到的策略、技术和程序 (TTP) 的安全态势。
该咨询报告中提供了一组攻击指标,其中包括恶意文件的哈希值、IP 地址以及攻击中使用的设备。

信息来源:BleepingComputer

原文始发于微信公众号(犀牛安全):伊朗黑客充当贩卖美国、加拿大和澳大利亚等国家关键基础设施访问权的经纪人

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月30日19:37:05
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   伊朗黑客充当贩卖美国、加拿大和澳大利亚等国家关键基础设施访问权的经纪人https://cn-sec.com/archives/3333550.html

发表评论

匿名网友 填写信息