第一阶段的攻击(攻陷 VPN)针对的是 VPN,第二阶段(横向移动)涉及全面收集工具和技术,这说明近年来伊朗黑客组织变得高级。例如,它们会滥用长久已知的技术,通过“StickyKeys”访问性工具在Windows 系统上获取管理员权限。
它们还利用开源的黑客工具如 JuicyPotato 和 Invoke the Hash,而且使用合法的系统管理员软件如 Putty、Plink|Ngrok、Serveo 或 FRP。
另外,黑客如果找不到开源工具或本地工具助力,则会开发定制化恶意软件。报告指出发现了伊朗黑客组织使用的工具,如:
STSRCheck:自开发数据库和开放端口映射工具
POWSSHNET:自开发的用于 RDP-over-SSH 隧道的后门恶意软件
Custom VBScripts:用于从命令和控制服务器下载 TXT 文件并将这些文件统一到可移植的可执行文件
cs.exe 上基于套接字的后门:用于开放硬编码 IP 地址基于套接字连接的一个 EXE 文件
Port.exe:扫描 IP 地址预定义端口的工具
3、多个黑客组织统一行动
报告指出,伊朗国家黑客组织似乎互相协作并统一行动,这种行为模式此前是未曾出现的。
之前关于伊朗黑客活动的报告详细说明了活动的不同集群,通常是单个黑客组织所为。报告强调称,针对全球 VPN 服务器的攻击似乎至少由三个伊朗黑客组织联合所为,即 APT33(Elfin、Shamoon)、APT34 (Oilrig) 和APT39 (Chafer)。
4、数据清洗攻击
当前,这些攻击的目的似乎是执行侦察和为实施监控活动植入后门。
然而,报告指出这些受感染企业网络的所有访问权限未来也可被武器化,用于部署数据清洗恶意软件,从而蓄意破坏企业并使其宕机,导致业务受损。
这些场景是完全有可能发生,而且也说得通的。
自2019年9月以来,两款新型数据清洗恶意软件(ZeroCleare 和 Dustman)就已遭披露并被指和伊朗黑客组织有关。
另外,报告指出,并不排除伊朗国家黑客组织可能利用了受陷企业访问权限从而在客户端实施供应链攻击的可能性。
这一理论的支持事实是,2月早些时候,FBI 警告美国私营企业警惕针对软件供应链企业的攻击,“包括支持全球能源产出、传输和分发的工控系统的实体”。
工控和能源行业过去一直是伊朗国家黑客组织的传统攻击目标。
FBI 在这份警告中还说明了攻击中所部署的恶意软件和 APT33所使用代码之间的关联,强有力地证明了伊朗黑客可能是这些攻击幕后黑手的可能性。
另外,报告还指出,针对巴林国家石油公司 Bapco 的攻击也使用了相同的“攻陷 VPN →横向移动”的技术。
ClearSky安全公司警告称,攻击过去数月时间后,最终修复其 VPN 服务器的公司应该扫描内网找到攻陷迹象。
报告中还提出了安全团队可用于扫描日志和内部系统以发现伊朗黑客组织入侵迹象的受陷指标 (IOCs)。
5、新型 VPN 缺陷
ClearSky在报告总结部分指出,预计伊朗国家黑客组织将在新型 VPN 缺陷遭公开后寻找利用它们的机会。
也就是说预计伊朗国家黑客组织很可能会在未来利用 SonicWall SRA 和 SMA VPN 服务器,因为刚不久前安全研究员曾发布了关于影响这两款产品的六个漏洞的详情。
总结
这几年,伊朗国家黑客已被爆出多次滥用企业VPN漏洞,有目的地入侵全球企业内网并植入后门,还将访问权限公然挂在暗示中贩卖以获利。
这意味着随着互联网时代的到来,高科技技术给人们带来方便的同时,背后是无数的漏洞攻击带来的网络信息安全隐患,这一隐患应引起我们的高度重视。
作为国内信息安全与数据处理领域的先进企业,中科信安集信息安全与数据处理的产品研发、生产和销售为一体,为政府部门和金融、石油石化、电力、煤炭等行业企业提供先进、安全的产品及解决方案,帮助用户提升网络信息安全的防护能力。
声明:本文来自FreeBuf,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。