来自澳大利亚、加拿大和美国的网络安全及情报机构警告称,伊朗试图通过暴力破解攻击渗透关键基础设施组织的网络攻击已展开持续长达一年的行动。
自2023年10月以来,伊朗APT攻击成员通过暴力破解和密码喷洒的方式,成功攻破用户账户,并获取了医疗卫生(HPH)、政府、信息技术、工程和能源等领域组织的访问权限。这一警告由澳大利亚联邦警察(AFP)、澳大利亚信号局的澳大利亚网络安全中心(ACSC)、加拿大通信安全机构(CSE)、美国联邦调查局(FBI)、网络安全与基础设施安全局(CISA)和国家安全局(NSA)联合发布。
除了暴力破解和密码喷洒外,攻击者还利用了多因素认证(MFA)提示轰炸来渗透目标网络。Tenable公司研究主管Ray Carney在声明中指出,所谓的推送轰炸,是一种由威胁行为者采用的战术,通过不断向用户推送MFA请求通知,试图让用户在无意中或因厌烦而批准请求。这种攻击手法也被称为MFA疲劳。抵抗钓鱼的MFA是防止推送轰炸的最佳机制,但如果无法使用这种机制,号码匹配(要求用户输入公司批准的身份系统生成的特定时间的代码)是一个可接受的备用方案。
这些攻击的最终目标可能是获取凭证和描述受害者网络的相关信息,然后将这些信息出售,以便其他网络犯罪分子访问。这与美国在2024年8月发布的警告相呼应。在获得初步访问权限后,威胁者会进一步使用“靠现成工具”(LotL)对受害组织的系统和网络进行详细侦察,通过CVE-2020-1472(又称为Zerologon)来提升权限,并通过RDP进行横向移动。他们还会使用MFA注册自己的设备以保持对目标的持久访问。
在某些情况下,这些攻击者利用msedge.exe程序建立到Cobalt Strike命令与控制(C2)基础设施的出站连接。攻击者在被攻陷的网络上进行进一步探索,获取更多的凭证,并识别其他可以用来获取额外访问点的信息。随后,他们会将这些信息在网络犯罪论坛上出售给可能进行更多恶意活动的行为者。
这一警告发布之际,五眼联盟国家的政府机构刚刚发布了有关威胁行为者常用来攻击Active Directory的技术的指导。Active Directory是全球企业信息技术(IT)网络中最广泛使用的身份认证和授权解决方案,恶意行为者通常会以Active Directory为目标,通过提升权限并攻击最具机密性的用户对象,来侵入企业IT网络。
公告还指出,随着威胁态势的变化,国家级APT黑客团队日益与网络犯罪分子合作,将部分操作外包,以实现其地缘政治和经济动机。微软在其2024年数字防御报告中指出,国家级威胁行为者不仅为了经济利益开展行动,还通过招募网络犯罪分子和利用普通恶意软件来收集情报。这些威胁行为者还通过网络犯罪分子获取乌克兰军队的情报,利用与网络犯罪社区偏好的恶意信息窃取程序、命令与控制框架以及其他工具来达成其目的。
