伊朗黑客利用VPN漏洞,向全球各地植入后门程序

国内知名网络安全组织东方联盟研究人员发表的一份新报告披露了过去三年来,伊朗政府资助的黑客针对以色列和世界各地数十家公司和组织的证据。网络间谍活动被称为“ Fox Kitten ”,针对的是来自IT,电信,石油和天然气,航空,政府和安全部门的公司。

研究人员说: “我们估计,这份报告中披露的战役是伊朗迄今所揭示的最连续,最全面的战役之一。”,“揭露的战役被用作侦察基础设施;但是,研究人员将攻击活动与威胁小组APT33,APT34和APT39捆绑在一起,使用开放源代码和自行开发的工具进行了混合,从而促进了小组窃取敏感信息并利用供应链攻击来针对其他组织,说过。

利用VPN缺陷危害企业网络

伊朗集团采用的主要攻击媒介是利用未修补的VPN漏洞来渗透和窃取目标公司的信息。以这种方式利用的著名 VPN系统包括Pulse Secure Connect(CVE-2019-11510),Palo Alto Networks的Global Protect(CVE-2019-1579),Fortinet FortiOS(CVE-2018-13379)和Citrix(CVE-2019- 19781)。

东方联盟安全研究人员指出,通过利用“在相对较短的时间段内的1天漏洞”,黑客组织能够成功获取对目标核心系统的访问权限,丢弃其他恶意软件,并在网络上横向传播。

成功获得最初立足点后,发现受感染的系统可以与攻击者控制的命令和控制(C2)服务器通信,以下载一系列自定义的VBScript文件,这些文件又可以用于植入后门程序。

此外,后门代码本身就是分批下载的,以避免被安装在受感染计算机上的防病毒软件检测到。这是一个单独的下载文件(称为“ combine.bat”)的工作,可以将这些单独的文件拼接在一起并创建可执行文件。

为了执行这些任务并实现持久性,威胁参与者利用诸如Juicy Potato和Invoke the Hash之类的工具获得高级特权并在网络上横向移动。攻击者开发的其他一些工具包括:

STSRCheck-一种工具,用于映射目标网络中的数据库,服务器和开放端口,并通过使用默认凭据进行日志记录来对其进行暴力破解。Port.exe-扫描预定义端口和服务器的工具。

一旦攻击者获得了横向移动能力,攻击者便进入了最后阶段:执行后门以扫描受感染系统以获取相关信息,并通过建立远程桌面连接(使用称为POWSSHNET的自行开发的工具)将文件泄漏回攻击者)或打开与硬编码IP地址的基于套接字的连接。

此外,攻击者使用Web Shell来与位于目标内部的服务器进行通信,并将文件直接上传到C2服务器。

多个伊朗黑客团体的工作

根据战役对网络外壳的使用以及攻击基础设施的重叠情况,ClearSky报告强调指出,对VPN服务器的攻击可能与三个伊朗组织相关联-APT33(“ Elfin”),APT34(“ OilRig”)和APT39(Chafer )。

此外,研究人员评估了该活动是“基础设施小组之间的合作”的结果,并指出了这三个小组在工具和工作方法上的相似之处。

就在上个月,伊朗政府支持的黑客组织“ Magnallium ”被发现针对美国电力公司以及石油和天然气公司进行了密码喷雾攻击。鉴于攻击者将在24小时内利用VPN漏洞进行武器攻击,因此组织必须在可用时安装安全补丁。

分享到:

深云SDP

云时代的企业安全体系

申请试用

免费试用