轉自TheHackerNews,作者Ravie Lakshmanan,藍色摩卡譯,合作站點轉載請註明原文譯者和出處為超級盾!
網絡安全研究人員發表的一份新報告披露了過去三年來,伊朗政府資助的黑客針對以色列和世界各地數十家公司和組織的證據。網絡間諜活動被
稱為“ Fox Kitten ”,針對的是來自IT,電信,石油和天然氣,航空,政府和安全部門的公司。ClearSky 研究人員說: “我們估計,這份報告中披露的戰役是伊朗迄今所揭示的最連續,最全面的戰役之一。”
“揭露的戰役被用作偵察基礎設施;但是,研究人員將攻擊活動與威脅小組APT33,APT34和APT39捆綁在一起,使用開放源代碼和自行開發的工具進行了混合。
這進而使竊取敏感信息被利用,比方說,產生進一步的供應鏈攻擊來針對其他組織。
利用VPN缺陷危害企業網絡
伊朗集團採用的主要攻擊媒介是利用未修補的VPN漏洞來滲透和竊取目標公司的信息。
以這種方式利用的著名 VPN系統包括Pulse Secure Connect(CVE-2019-11510),Palo Alto Networks的Global Protect(CVE-2019-1579),Fortinet FortiOS(CVE-2018-13379)和Citrix(CVE-2019- 19781)。
ClearSky指出,通過利用“在相對較短的時間段內的1天漏洞”,黑客組織能夠成功獲取對目標核心系統的訪問權限,丟棄其他惡意軟件,並在網絡上橫向傳播。
成功獲得最初立足點後,發現受感染的系統可以與攻擊者控制的命令和控制(C2)服務器通信,以
下載一系列自定義的VBScript文件,這些文件又可以用於植入後門程序。此外,後門代碼本身就是分批下載的,以避免被安裝在受感染計算機上的防病毒軟件檢測到。這是一個單獨的下載文件(稱為combine.bat)的工作,可以將這些單獨的文件拼接在一起並創建可執行文件。
為了執行這些任務並實現持久性,威脅參與者利用諸如Juicy Potato和Invoke the Hash之類的工具
獲得高級特權並在網絡上橫向移動。攻擊者開發的其他一些工具包括:STSRCheck-一種工具,用於映射目標網絡中的數據庫,服務器和開放端口,並通過使用默認憑據進行日誌記錄來對其進行暴力破解。Port.exe-掃描預定義端口和服務器的工具。
一旦攻擊者獲得了橫向移動能力,攻擊者便進入了最後階段:
執行後門以掃描受感染系統以獲取相關信息,並通過建立遠程桌面連接或打開與硬編碼IP地址的基於套接字的連接。此外,攻擊者使用Web Shell來與位於目標內部的服務器進行通信,並將文件直接上傳到C2服務器。
多個伊朗黑客團體的工作
根據戰役對網絡外殼的使用以及攻擊基礎設施的重疊情況,ClearSky報告強調指出,針對VPN服務器的攻擊可能與三個伊朗組織相關聯-APT33(“ Elfin”),APT34(“ OilRig”)和APT39(Chafer )。
此外,研究人員評估了該活動是“基礎設施小組之間的合作”的結果,並指出了這三個小組在工具和工作方法上的相似之處。
就在上個月,伊朗政府支持的黑客組織“ Magnallium ”被發現針對美國電力公司以及石油和天然氣公司進行了密碼攻擊。
鑑於攻擊者將在24小時內利用VPN漏洞進行武器攻擊,因此組織必須在可用時安裝安全補丁。
除了遵循最小特權原則之外,毫無疑問,關鍵系統會得到持續監控並保持最新狀態。實施兩步身份驗證可以大大減少未授權的登錄。
精彩在後面
Hi,我是超級盾
更多幹貨,可移步到,微信公眾號:超級盾訂閱號!精彩與您不見不散!
超級盾能做到:防得住、用得起、接得快、玩得好、看得見、雙向數據加密!
截至到目前,超級盾成功抵禦史上最大2.47T黑客DDoS攻擊,超級盾具有無限防禦DDoS、100%防CC的優勢。
閱讀更多 超級盾 的文章
