قراصنة إيرانيون يلاحقون البنية التحتية الحرجة للولايات المتحدة

[ad_1]

المنظمات المسؤولة عن حذر مسؤولون حكوميون من الولايات المتحدة والمملكة المتحدة وأستراليا يوم الأربعاء من أن البنية التحتية الحيوية في الولايات المتحدة في مرمى قراصنة الحكومة الإيرانية ، الذين يستغلون نقاط الضعف المعروفة في منتجات المؤسسات من Microsoft و Fortinet.

أ استشاري مشترك نشر الأربعاء قال إن مجموعة قرصنة متطورة ذات تهديد مستمر متحالفة مع الحكومة الإيرانية تستغل نقاط الضعف في Microsoft Exchange و Fortinet فورتيوس، والتي تشكل الأساس لعروض الأمان للشركة الأخيرة. كل ما تم تحديده نقاط الضعف تم تصحيحها ، ولكن لم يقم كل من يستخدم المنتجات بتثبيت التحديثات. تم إصدار الاستشارة من قبل مكتب التحقيقات الفيدرالي ، ووكالة الأمن السيبراني وأمن البنية التحتية الأمريكية ، والمركز الوطني للأمن السيبراني في المملكة المتحدة ، والمركز الأسترالي للأمن السيبراني.

مجموعة واسعة من الأهداف

جاء في الاستشارة أن “الجهات الفاعلة في APT التي ترعاها الحكومة الإيرانية تستهدف بنشاط مجموعة واسعة من الضحايا عبر العديد من قطاعات البنية التحتية الحيوية في الولايات المتحدة ، بما في ذلك قطاع النقل وقطاع الرعاية الصحية والصحة العامة ، فضلاً عن المنظمات الأسترالية”. تقوم FBI و CISA و ACSC و NCSC بتقييم الجهات الفاعلة [that] تركز على استغلال نقاط الضعف المعروفة بدلاً من استهداف قطاعات معينة. يمكن للجهات الفاعلة في APT التي ترعاها الحكومة الإيرانية الاستفادة من هذا الوصول لعمليات المتابعة ، مثل استخراج البيانات أو التشفير ، وبرامج الفدية ، والابتزاز “.

قال المستشار إن مكتب التحقيقات الفيدرالي و CISA لاحظا المجموعة تستغل ثغرات Fortinet منذ مارس على الأقل وثغرات Microsoft Exchange منذ أكتوبر على الأقل للوصول الأولي إلى الأنظمة. ال قراصنة ثم بدء عمليات المتابعة التي تتضمن نشر برامج الفدية.

في مايو ، استهدف المهاجمون بلدية أمريكية لم تذكر اسمها ، حيث قاموا على الأرجح بإنشاء حساب باسم المستخدم “elie” لاختراق الشبكة المخترقة. بعد شهر ، قاموا باختراق مستشفى في الولايات المتحدة متخصص في الرعاية الصحية للأطفال. من المحتمل أن يكون الهجوم الأخير قد شمل خوادم مرتبطة بإيران في 91.214.124[.]143 ، 162.55.137[.]20 و 154.16.192[.]70.

في الشهر الماضي ، استغل ممثلو APT الثغرات الأمنية في Microsoft Exchange التي منحتهم وصولاً أوليًا إلى الأنظمة قبل عمليات المتابعة. وقالت السلطات الأسترالية إنها لاحظت أيضًا أن المجموعة تستفيد من ثغرة في البورصة.

احترس من حسابات المستخدمين غير المعروفة

ربما أنشأ المتسللون حسابات مستخدمين جديدة على وحدات التحكم بالمجال والخوادم ومحطات العمل والأدلة النشطة للشبكات التي قاموا باختراقها. يبدو أن بعض الحسابات تحاكي الحسابات الحالية ، لذلك غالبًا ما تختلف أسماء المستخدمين من مؤسسة مستهدفة إلى مؤسسة مستهدفة. قال الاستشارة إن أفراد أمن الشبكة يجب أن يبحثوا عن حسابات غير معروفة مع إيلاء اهتمام خاص لأسماء المستخدمين مثل Support و Help و elie و WADGUtilityAccount.

يأتي الاستشارة بعد يوم من Microsoft ذكرت أن جماعة متحالفة مع إيران تسميها الفوسفور تستخدم بشكل متزايد فيروسات الفدية لتوليد الإيرادات أو تعطيل الخصوم. وأضافت مايكروسوفت أن الجماعة تستخدم “هجمات القوة الغاشمة العدوانية” على أهداف.

في وقت مبكر من هذا العام، مايكروسوفت قال ، قام Phosphorus بمسح ملايين عناوين IP بحثًا عن أنظمة FortiOS التي لم تقم بعد بتثبيت إصلاحات الأمان لـ CVE-2018-13379. سمح الخلل للمتسللين بجمع بيانات اعتماد ذات نص واضح تستخدم للوصول عن بُعد إلى الخوادم. انتهى المطاف بفوسفور بجمع بيانات الاعتماد من أكثر من 900 خادم Fortinet في الولايات المتحدة وأوروبا وإسرائيل.

في الآونة الأخيرة ، تحول الفوسفور إلى المسح بحثًا عن خوادم Exchange المحلية المعرضة لـ CVE-2021-26855 و CVE-2021-26857 و CVE-2021-26858 و CVE-2021-27065 ، وهي مجموعة من العيوب التي تدخل تحت اسم ProxyShell . مايكروسوفت إصلاح نقاط الضعف في مارس.

قالت مايكروسوفت: “عندما حددوا الخوادم المعرضة للخطر ، سعى الفوسفور إلى اكتساب الثبات على الأنظمة المستهدفة”. “في بعض الحالات ، قام الممثلون بتنزيل برنامج Plink Runner المسمى MicrosoftOutLookUpdater.exe. سيصدر هذا الملف إشارات دورية إلى خوادم C2 الخاصة بهم عبر SSH ، مما يسمح للممثلين بإصدار أوامر أخرى. في وقت لاحق ، يقوم الممثلون بتنزيل غرسة مخصصة عبر أمر PowerShell المشفر باستخدام Base64. أثبتت هذه الغرسة ثباتًا على النظام الضحية من خلال تعديل مفاتيح تسجيل بدء التشغيل وعملت في النهاية كمحمل لتنزيل أدوات إضافية “.

تحديد الأهداف عالية القيمة

ذكر منشور مدونة Microsoft أيضًا أنه بعد الحصول على وصول مستمر ، قام المتسللون بفرز مئات الضحايا لتحديد الأهداف الأكثر إثارة للاهتمام لهجمات المتابعة. ثم أنشأ المتسللون حسابات مسؤول محلي باسم المستخدم “help” وكلمة المرور “_AS_ @ 1394.” في بعض الحالات ، قام الممثلون بإلقاء LSASS للحصول على أوراق اعتماد لاستخدامها لاحقًا.

قالت Microsoft أيضًا إنها لاحظت المجموعة التي تستخدم ميزة تشفير القرص الكامل BitLocker من Microsoft ، والتي تم تصميمها لحماية البيانات ومنع تشغيل البرامج غير المصرح بها.

.

[ad_2]