Irano įsilaužėliai pažeidinėja ypatingos svarbos infrastruktūros organizacijas, kad rinktų kredencialus ir tinklo duomenis, kuriuos būtų galima parduoti kibernetinių nusikaltėlių forumuose, kad būtų sudarytos sąlygos kitų grėsmės veikėjų kibernetinėms atakoms.
JAV, Kanados ir Australijos vyriausybinės agentūros mano, kad Irano įsilaužėliai veikia kaip pirmieji prieigos tarpininkai ir naudoja žiaurios jėgos metodus, kad pasiektų sveikatos priežiūros ir visuomenės sveikatos (HPH), vyriausybės, informacinių technologijų, inžinerijos ir energetikos organizacijas. sektoriuose.
Irano prieigos tarpininkas
Amerikos kibernetinės gynybos agentūros (CISA) paskelbtame patarime aprašoma naujausia veikla ir metodai, kuriuos Irano įsilaužėliai naudojo siekdami pažeisti tinklus ir rinkti duomenis, kurie suteiktų papildomų prieigos taškų.
Perspėjimą parengė Federalinis tyrimų biuras (FTB), CISA, Nacionalinė saugumo agentūra (NSA), Kanados ryšių saugumo įstaiga (CSE), Australijos federalinė policija (AFP) ir Australijos signalų direktorato Australijos kibernetinė tarnyba. Apsaugos centras (ASD ACSC).
„Nuo 2023 m. spalio mėn. Irano veikėjai naudojo žiaurią jėgą, pvz., slaptažodžių išpurškimą ir daugiafaktorinį autentifikavimą (MFA), siekdami pažeisti vartotojų paskyras ir gauti prieigą prie organizacijų“ – bendras kibernetinio saugumo patarimas.
Po žvalgybos etapo grėsmės veikėjai siekia gauti nuolatinę prieigą prie tikslinio tinklo, dažnai naudodami brutalios jėgos metodus.
Tolesnė veikla apima daugiau kredencialų rinkimą, privilegijų padidinimą ir mokymąsi apie pažeistas sistemas ir tinklą, leidžiantį jiems judėti į šoną ir nustatyti kitus prieigos ir išnaudojimo taškus.
Vyriausybinės agentūros neatrado visų tokiose atakose naudojamų metodų, tačiau nustatė, kad kai kuriose programose įsilaužėliai naudoja slaptažodžių purškimą, kad pasiektų galiojančias vartotojų ir grupių paskyras.
Kitas pastebėtas metodas buvo MFA nuovargis (stumiamas bombardavimas), kai kibernetiniai nusikaltėliai bombarduoja taikinio mobilųjį telefoną su prieigos užklausomis, kad priblokštų vartotoją, kol jis patvirtins bandymą prisijungti, atsitiktinai arba tiesiog norėdami sustabdyti pranešimus.
Remiantis patarimu, Irano įsilaužėliai taip pat naudojo kai kuriuos metodus, kurie dar turi būti nustatyti, kad gautų pradinę prieigą prie „Microsoft 365“, „Azure“ ir „Citrix“ aplinkų.
Gavę prieigą prie paskyros, grėsmės subjektai paprastai bando užregistruoti savo įrenginius organizacijos MFA sistemoje.
Dviejuose patvirtintuose kompromisuose aktoriai pasinaudojo pažeisto vartotojo atvira registracija MFA, kad užregistruotų paties aktoriaus įrenginį, kad galėtų pasiekti aplinką.
Kitame patvirtintame kompromise aktoriai naudojo savitarnos slaptažodžio nustatymo iš naujo (SSPR) įrankį, susietą su viešąja „Active Directory Federation Service“ (ADFS), kad iš naujo nustatytų paskyras su pasibaigusių slaptažodžių galiojimu, o tada užregistravo MFA per „Okta“ pažeistoms paskyroms, kuriose MFA jau nebuvo įjungta. .
Perėjimas tinkle buvo vykdomas naudojant nuotolinio darbalaukio protokolą (RDP), kartais diegiant reikiamus dvejetainius failus naudojant „PowerShell“, atidarytą per „Microsoft Word“.
Neaišku, kaip Irano įsilaužėliai renka papildomus kredencialus, tačiau manoma, kad šis veiksmas atliekamas naudojant atvirojo kodo įrankius, siekiant pavogti Kerberos bilietus arba atkurti Active Directory paskyras.
Siekdamos padidinti sistemos privilegijas, vyriausybinės agentūros teigė, kad įsilaužėliai bandė apsimesti domeno valdikliu „greičiausiai išnaudodami Microsoft Netlogon (dar vadinamą „Zerologon“) privilegijų eskalavimo pažeidžiamumą (CVE-2020-1472).
Analizuotų atakų metu grėsmės veikėjas rėmėsi sistemoje turimais įrankiais (gyvendamas ne žemėje), kad surinktų išsamią informaciją apie domenų valdiklius, patikimus domenus, administratorių sąrašus, įmonės administratorius, kompiuterius tinkle, jų aprašymus ir operacines sistemas. .
Atskirame rugpjūčio mėn. patarime JAV vyriausybė perspėjo apie Irane įsikūrusį grėsmės veikėją, kuris, kaip manoma, remiamas valstybės, dalyvauja siekiant gauti pradinę prieigą prie tinklų, priklausančių įvairioms JAV organizacijoms.
Grėsmės veikėjas ryšio kanaluose naudojo slapyvardį Br0k3r ir vartotojo vardą „xplfinder“. Jie suteikė „visas domeno valdymo teises ir domeno administratoriaus kredencialus daugeliui tinklų visame pasaulyje“, pažymima pranešime.
Br0k3r, privačiame sektoriuje žinomas kaip Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM ir Lemon Sandstorm, bendradarbiavo su ransomware filialais, kad gautų išpirkos mokėjimų procentą iš pažeistų organizacijų (pvz., mokyklų, savivaldybių, finansų įstaigų ir sveikatos priežiūros įstaigos).
Brutalios jėgos bandymų aptikimas
Bendras patarimas rekomenduoja organizacijoms peržiūrėti autentifikavimo žurnalus, ar nepavyko prisijungti prie galiojančių paskyrų, ir išplėsti paiešką keliose paskyrose.
Jei grėsmės veikėjas naudoja pažeistus kredencialus virtualioje infrastruktūroje, organizacijos turėtų ieškoti vadinamųjų „neįmanomų prisijungimų“ su pakeistais vartotojo vardais, naudotojo agentais arba IP adresais, kurie neatitinka tipinės vartotojo geografinės vietos.
Kitas galimo bandymo įsilaužti požymis yra to paties IP naudojimas kelioms paskyroms arba IP iš skirtingų vietų naudojimas tokiu dažniu, kuris neleistų vartotojui nukeliauti atstumo.
Be to, agentūros rekomenduoja:
- ieško MFA registracijų su MFA netikėtose vietose arba iš nepažįstamų įrenginių
- ieško procesų ir programos vykdymo komandinės eilutės argumentų, kurie gali rodyti kredencialų išmetimą, ypač bandymus pasiekti arba nukopijuoti ntds.dit failą iš domeno valdiklio
- tikrinti, ar nėra įtartinų privilegijuotosios paskyros naudojimo po to, kai iš naujo nustatomi slaptažodžiai arba pritaikius vartotojo paskyros mažinimo priemones
- tiriant neįprastą veiklą paprastai neveikiančiose paskyrose
- neįprastų naudotojo agentų eilučių nuskaitymas, pvz., su įprasta naudotojo veikla nesusietų eilučių, kurios gali rodyti roboto veiklą
Bendrame patarime taip pat pateikiamas švelninimo priemonių rinkinys, kuris pagerintų organizacijos apsaugą nuo taktikos, metodų ir procedūrų (TTP), stebimų Irano įsilaužėlių veikloje.
Patariame pateikiamas kompromiso rodiklių rinkinys, įskaitant kenkėjiškų failų maišą, IP adresus ir įrenginius, naudojamus atakoms.