Ιρανοί χάκερ παραβιάζουν οργανισμούς υποδομής ζωτικής σημασίας για να συλλέξουν διαπιστευτήρια και δεδομένα δικτύου που μπορούν να πωληθούν σε φόρουμ κυβερνοεγκληματιών για να επιτρέψουν κυβερνοεπιθέσεις από άλλους παράγοντες απειλών.
Κυβερνητικές υπηρεσίες στις ΗΠΑ, τον Καναδά και την Αυστραλία πιστεύουν ότι Ιρανοί χάκερ ενεργούν ως μεσίτες αρχικής πρόσβασης και χρησιμοποιούν τεχνικές ωμής βίας για να αποκτήσουν πρόσβαση σε οργανισμούς στον τομέα της υγειονομικής περίθαλψης και της δημόσιας υγείας (HPH), της κυβέρνησης, της τεχνολογίας πληροφοριών, της μηχανικής και της ενέργειας κλάδους.
Ιρανός μεσίτης πρόσβασης
Μια συμβουλευτική που δημοσιεύτηκε από την Υπηρεσία Κυβερνοάμυνας της Αμερικής (CISA) περιγράφει την πιο πρόσφατη δραστηριότητα και μεθόδους που χρησιμοποίησαν οι Ιρανοί χάκερ για να παραβιάσουν δίκτυα και να συλλέξουν δεδομένα που θα παρείχαν πρόσθετα σημεία πρόσβασης.
Η ειδοποίηση συνυπογράφεται από το Ομοσπονδιακό Γραφείο Ερευνών (FBI), την CISA, την Υπηρεσία Εθνικής Ασφάλειας (NSA), το Communications Security Establishment Canada (CSE), την Ομοσπονδιακή Αστυνομία της Αυστραλίας (AFP) και το Australian Cyber της Διεύθυνσης Σημάτων της Αυστραλίας Κέντρο Ασφαλείας (ASD’s ACSC).
«Από τον Οκτώβριο του 2023, οι Ιρανοί ηθοποιοί έχουν χρησιμοποιήσει ωμή βία, όπως ψεκασμό κωδικών πρόσβασης και έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) «σπρώξιμο βομβαρδισμού» για να παραβιάσουν λογαριασμούς χρηστών και να αποκτήσουν πρόσβαση σε οργανισμούς» – κοινή συμβουλευτική για την ασφάλεια στον κυβερνοχώρο
Μετά το στάδιο της αναγνώρισης, οι παράγοντες της απειλής στοχεύουν να αποκτήσουν επίμονη πρόσβαση στο δίκτυο-στόχο, χρησιμοποιώντας συχνά τεχνικές ωμής βίας.
Η δραστηριότητα παρακολούθησης περιλαμβάνει τη συλλογή περισσότερων διαπιστευτηρίων, την κλιμάκωση των προνομίων και την εκμάθηση για τα παραβιασμένα συστήματα και το δίκτυο, που τους επιτρέπει να κινούνται πλευρικά και να εντοπίζουν άλλα σημεία πρόσβασης και εκμετάλλευσης.
Οι κυβερνητικές υπηρεσίες δεν έχουν ανακαλύψει όλες τις μεθόδους που χρησιμοποιούνται σε τέτοιες επιθέσεις, αλλά διαπίστωσαν ότι σε ορισμένες οι χάκερ χρησιμοποιούν ψεκασμό κωδικών πρόσβασης για πρόσβαση σε έγκυρους λογαριασμούς χρηστών και ομάδων.
Μια άλλη μέθοδος που παρατηρήθηκε ήταν η κόπωση MFA (βομβαρδισμός ώθησης) όπου οι εγκληματίες του κυβερνοχώρου βομβαρδίζουν το κινητό τηλέφωνο ενός στόχου με αιτήματα πρόσβασης για να κατακλύσουν τον χρήστη μέχρι να εγκρίνουν την προσπάθεια σύνδεσης, είτε κατά λάθος είτε απλώς για να σταματήσουν τις ειδοποιήσεις.
Σύμφωνα με τη συμβουλευτική, Ιρανοί χάκερ χρησιμοποίησαν επίσης ορισμένες μεθόδους που δεν έχουν ακόμη καθοριστεί για να αποκτήσουν αρχική πρόσβαση σε περιβάλλοντα Microsoft 365, Azure και Citrix.
Μόλις αποκτήσουν πρόσβαση σε έναν λογαριασμό, οι φορείς απειλών συνήθως προσπαθούν να καταχωρήσουν τις συσκευές τους στο σύστημα MFA του οργανισμού.
Σε δύο επιβεβαιωμένους συμβιβασμούς, οι ηθοποιοί χρησιμοποίησαν την ανοιχτή εγγραφή ενός παραβιασμένου χρήστη στο MFA για να καταχωρήσουν τη συσκευή του ηθοποιού για πρόσβαση στο περιβάλλον.
Σε έναν άλλο επιβεβαιωμένο συμβιβασμό, οι ηθοποιοί χρησιμοποίησαν ένα εργαλείο επαναφοράς κωδικού πρόσβασης αυτοεξυπηρέτησης (SSPR) που σχετίζεται με μια δημόσια υπηρεσία Active Directory Federation Service (ADFS) για να επαναφέρουν τους λογαριασμούς με ληγμένους κωδικούς πρόσβασης και στη συνέχεια κατέγραψαν MFA μέσω του Okta για παραβιασμένους λογαριασμούς χωρίς ήδη ενεργοποιημένο το MFA .
Η μετακίνηση μέσω του δικτύου πραγματοποιήθηκε μέσω του πρωτοκόλλου απομακρυσμένης επιφάνειας εργασίας (RDP), μερικές φορές αναπτύσσοντας τα απαραίτητα δυαδικά αρχεία χρησιμοποιώντας το PowerShell που ανοίγει μέσω του Microsoft Word.
Δεν είναι σαφές πώς οι Ιρανοί χάκερ συλλέγουν πρόσθετα διαπιστευτήρια, αλλά πιστεύεται ότι αυτό το βήμα γίνεται με τη βοήθεια εργαλείων ανοιχτού κώδικα για την κλοπή εισιτηρίων Kerberos ή για την ανάκτηση λογαριασμών Active Directory.
Για να αυξήσουν τα προνόμια στο σύστημα, οι κυβερνητικές υπηρεσίες είπαν ότι οι χάκερ προσπάθησαν να μιμηθούν τον ελεγκτή τομέα «πιθανότατα εκμεταλλευόμενοι την ευπάθεια κλιμάκωσης προνομίων Netlogon της Microsoft (επίσης γνωστή ως «Zerologon») (CVE-2020-1472).»
Στις επιθέσεις που αναλύθηκαν, ο παράγοντας απειλής βασίστηκε στα εργαλεία που ήταν διαθέσιμα στο σύστημα (που ζουν εκτός της γης) για να συγκεντρώσει λεπτομέρειες σχετικά με ελεγκτές τομέα, αξιόπιστους τομείς, λίστες διαχειριστών, διαχειριστές επιχειρήσεων, υπολογιστές στο δίκτυο, τις περιγραφές τους και λειτουργικά συστήματα .
Σε ξεχωριστό συμβουλευτικός Τον Αύγουστο, η κυβέρνηση των ΗΠΑ προειδοποίησε για έναν παράγοντα απειλών με έδρα το Ιράν, που πιστεύεται ότι είναι υπό την αιγίδα του κράτους, που εμπλέκεται στην απόκτηση αρχικής πρόσβασης σε δίκτυα που ανήκουν σε διάφορους οργανισμούς στις ΗΠΑ
Ο ηθοποιός της απειλής χρησιμοποίησε το ψευδώνυμο Br0k3r και το όνομα χρήστη «xplfinder» στα κανάλια επικοινωνίας. Παρείχαν “πλήρη δικαιώματα ελέγχου τομέα, καθώς και διαπιστευτήρια διαχειριστή τομέα, σε πολλά δίκτυα παγκοσμίως”, σημειώνει η έκθεση.
Η Br0k3r, γνωστή στον ιδιωτικό τομέα ως Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM και Lemon Sandstorm, συνεργάστηκε με θυγατρικές εταιρείες ransomware για να λάβει ένα ποσοστό των πληρωμών λύτρων από παραβιασμένους οργανισμούς (π.χ. σχολεία, δημοτικές αρχές, χρηματοπιστωτικά ιδρύματα και εγκαταστάσεις υγειονομικής περίθαλψης).
Ανίχνευση προσπαθειών ωμής βίας
Η κοινή συμβουλευτική συνιστά στους οργανισμούς να ελέγχουν τα αρχεία καταγραφής ελέγχου ταυτότητας για αποτυχημένες συνδέσεις σε έγκυρους λογαριασμούς και να επεκτείνουν την αναζήτηση σε πολλούς λογαριασμούς.
Εάν ένας παράγοντας απειλής αξιοποιεί παραβιασμένα διαπιστευτήρια σε εικονικές υποδομές, οι οργανισμοί θα πρέπει να αναζητήσουν τις λεγόμενες «αδύνατες συνδέσεις» με άλλα ονόματα χρήστη, πράκτορες χρήστη ή διευθύνσεις IP που δεν ταιριάζουν με την τυπική γεωγραφική θέση του χρήστη.
Ένα άλλο σημάδι μιας πιθανής προσπάθειας εισβολής είναι η χρήση της ίδιας IP για πολλούς λογαριασμούς ή η χρήση IP από διαφορετικές τοποθεσίες με συχνότητα που δεν θα επέτρεπε στον χρήστη να διανύσει την απόσταση.
Επιπλέον, οι φορείς προτείνουν:
- αναζήτηση εγγραφών MFA με MFA σε μη αναμενόμενες τοπικές ρυθμίσεις ή από άγνωστες συσκευές
- αναζήτηση διεργασιών και ορίσματα γραμμής εντολών εκτέλεσης προγράμματος που μπορεί να υποδεικνύουν απόρριψη διαπιστευτηρίων, ειδικά προσπάθειες πρόσβασης ή αντιγραφής του αρχείου ntds.dit από έναν ελεγκτή τομέα
- έλεγχος για ύποπτη προνομιακή χρήση λογαριασμού μετά από επαναφορά κωδικών πρόσβασης ή εφαρμογή μετριασμού του λογαριασμού χρήστη
- διερεύνηση ασυνήθιστης δραστηριότητας σε τυπικά αδρανείς λογαριασμούς
- σάρωση για ασυνήθιστες συμβολοσειρές παράγοντα χρήστη, όπως συμβολοσειρές που δεν συσχετίζονται συνήθως με κανονική δραστηριότητα χρήστη, που μπορεί να υποδηλώνουν δραστηριότητα ρομπότ
Η κοινή συμβουλευτική παρέχει επίσης ένα σύνολο μέτρων μετριασμού που θα βελτιώσουν τη στάση ασφαλείας ενός οργανισμού έναντι των τακτικών, τεχνικών και διαδικασιών (TTP) που παρατηρούνται με τη δραστηριότητα των Ιρανών χάκερ.
Στο συμβουλευτικός.
VIA: bleepingcomputer.com
