Fortinet和Microsoft Exchange的N-day漏洞仍被伊朗APT大量利用,美英澳三國(guó)網(wǎng)安機(jī)構(gòu)發(fā)布聯(lián)合警報(bào)
2021-11-19
來(lái)源:網(wǎng)空閑話
美國(guó)東部時(shí)間11月17日上午,美國(guó)、英國(guó)和澳大利亞政府機(jī)構(gòu)聯(lián)合發(fā)布的一份報(bào)告警告說(shuō),伊朗政府支持的威脅行動(dòng)者正在利用Fortinet和Microsoft Exchange漏洞對(duì)美國(guó)以及澳大利亞的一些組織的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊。該聯(lián)合網(wǎng)絡(luò)安全咨詢公告是聯(lián)邦調(diào)查局 (FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、澳大利亞網(wǎng)絡(luò)安全中心 (ACSC) 和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 (NCSC) 多國(guó)協(xié)作分析的結(jié)果。
至少自2021年3月以來(lái),已觀察到攻擊組織利用Fortinet漏洞進(jìn)行攻擊,并自2021年10月以來(lái)針對(duì)Microsoft Exchange ProxyShell漏洞進(jìn)行初始突破。
聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心(NCSC)的聯(lián)合咨詢報(bào)告稱,攻擊目標(biāo)包括美國(guó)和澳大利亞的運(yùn)輸、醫(yī)療保健和公共衛(wèi)生部門。
2021年3月,觀察到伊朗政府資助的APT行為體瞄準(zhǔn)Fortinet FortiOS漏洞,如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812,以獲得訪問(wèn)脆弱網(wǎng)絡(luò)的權(quán)限。
在2021年5月,同樣的攻擊者利用了Fortigate設(shè)備中的一個(gè)漏洞,入侵了托管美國(guó)市政府域的web服務(wù)器,并創(chuàng)建了一個(gè)名為elie的帳戶以保持對(duì)資源的訪問(wèn)。
2021年6月,伊朗APTs利用Fortigate設(shè)備攻陷了與美國(guó)一家兒童保健醫(yī)院相關(guān)的網(wǎng)絡(luò)。與伊朗政府網(wǎng)絡(luò)活動(dòng)相關(guān)的IP地址被發(fā)現(xiàn)用于其他有針對(duì)性的惡意活動(dòng)。
從2021年10月開始,與伊朗政府有關(guān)聯(lián)的攻擊組織利用微軟Exchange ProxyShell漏洞CVE-2021-34473,首次突破目標(biāo)的環(huán)境。ACSC認(rèn)為,APT組織在攻擊澳大利亞實(shí)體時(shí)使用了同樣的漏洞。微軟Exchange服務(wù)器中被稱為 ProxyShell的漏洞有4個(gè),這些漏洞最初被黑客用作零日漏洞。但微軟在 4 月份發(fā)布了針對(duì)這些漏洞的補(bǔ)丁。
在初始突破之后,攻擊者可能修改Task Scheduler任務(wù)以執(zhí)行有效負(fù)載,并在域控制器、活動(dòng)目錄、服務(wù)器和工作站上創(chuàng)建新帳戶以實(shí)現(xiàn)持久的潛伏。
在攻擊過(guò)程中,攻擊者使用了各種工具來(lái)獲取憑證。如經(jīng)典的Mimikatz、特權(quán)升級(jí)(WinPEAS)、數(shù)據(jù)歸檔(WinRAR)和文件傳輸(FileZilla)。還使用了SharpWMI (Windows Management Instrumentation)。
另?yè)?jù)微軟最新的跟蹤研究表明,伊朗網(wǎng)絡(luò)攻擊組織正在轉(zhuǎn)向勒索攻擊 。自2020年9月以來(lái),每六到八周就會(huì)出現(xiàn)一波勒索軟件攻擊。俄羅斯通常被視為最大的網(wǎng)絡(luò)犯罪勒索軟件威脅的發(fā)源地,但來(lái)自朝鮮和伊朗的國(guó)家支持的攻擊者也對(duì)勒索軟件表現(xiàn)出越來(lái)越大的興趣。據(jù)微軟稱,APT35還針對(duì)未打補(bǔ)丁的本地Exchange服務(wù)器和 Fortinet的FortiOS SSL VPN以部署勒索軟件。其他網(wǎng)絡(luò)安全公司去年檢測(cè)到伊朗國(guó)家支持的黑客使用已知的Microsoft Exchange漏洞在電子郵件服務(wù)器和Thanos勒索軟件上安裝持久性網(wǎng)絡(luò)外殼的勒索軟件有所增加。CrowdStrike的研究表明,伊朗網(wǎng)絡(luò)攻擊組織已經(jīng)意識(shí)到勒索軟件作為一種網(wǎng)絡(luò)攻擊能力的潛力,能夠以較低的成本,對(duì)受害者造成破壞性影響。
在聯(lián)合咨詢中,F(xiàn)BI、CISA、ACSC和NCSC敦促各組織立即對(duì)目標(biāo)漏洞應(yīng)用補(bǔ)丁、評(píng)估和更新黑白名單、落實(shí)數(shù)據(jù)備份的策略和過(guò)程、落實(shí)網(wǎng)絡(luò)分區(qū)隔離、強(qiáng)化用戶賬戶管理、落實(shí)雙因素認(rèn)證、強(qiáng)化口令質(zhì)量、加強(qiáng)RDP類遠(yuǎn)程接入訪問(wèn)、升級(jí)反病毒應(yīng)用等。它們還提供了損害指標(biāo)(IoCs),以幫助檢測(cè)潛在的損害,以及一系列緩解建議,以加強(qiáng)網(wǎng)絡(luò)抵御潛在的攻擊。
