США и Великобритания предупреждают об иранских хакерах, использующих Microsoft Exchange, Fortinet

10
Весты близки к нормальной работе после атаки вымогателей

Агентства по кибербезопасности США, Великобритании и Австралии предупредили сегодня о продолжающейся эксплуатации уязвимостей Microsoft Exchange ProxyShell и Fortinet, связанных с поддерживаемой Ираном хакерской группой.

Предупреждение было выпущено в качестве  совместной рекомендации,  выпущенной Агентством кибербезопасности и безопасности инфраструктуры (CISA), Федеральным бюро расследований (ФБР), Австралийским центром кибербезопасности (ACSC) и Национальным центром кибербезопасности Соединенного Королевства (NCSC).

«ФБР и CISA наблюдали, что эта спонсируемая правительством Ирана группа APT использует уязвимости Fortinet по крайней мере с марта 2021 года и уязвимость Microsoft Exchange ProxyShell по крайней мере с октября 2021 года, чтобы получить первоначальный доступ к системам перед последующими операциями, которые включают развертывание программ-вымогателей. , — сказали в CISA.

«ACSC также известно, что эта APT-группа использовала ту же уязвимость Microsoft Exchange в Австралии», — говорится в совместном сообщении.

Хакеры из иранского государства сосредотачивают свои атаки на критически важных секторах инфраструктуры США (например, транспорт, здравоохранение) и австралийских организациях.

Они стремятся получить первоначальный доступ к целям из критических секторов, которые впоследствии могут быть использованы для других гнусных целей, включая кражу данных, развертывание программ-вымогателей и вымогательство.

CISA и ФБР также поделились информацией о нескольких случаях, когда наблюдалась спонсируемая Ираном хакерская группа, в том числе:

  • В марте 2021 года ФБР и CISA наблюдали, как эти спонсируемые правительством Ирана участники APT сканируют устройства на портах 4443, 8443 и 10443 на предмет уязвимости Fortinet FortiOS  CVE-2018-13379 и перечисляют устройства на наличие уязвимостей FortiOS  CVE-2020-12812  и  CVE- 2019-5591. Спонсируемые правительством Ирана субъекты APT, вероятно, использовали эти уязвимости для получения доступа к уязвимым сетям.
  • В мае 2021 года эти спонсируемые правительством Ирана участники APT использовали устройство Fortigate для доступа к веб-серверу, на котором размещен домен муниципального правительства США. Скорее всего, злоумышленники создали учетную запись с именем пользователя elie, чтобы в дальнейшем активировать вредоносную деятельность.
  • В июне 2021 года эти APT-участники использовали устройство Fortigate для доступа к сетям контроля окружающей среды, связанным с американской больницей, специализирующейся на охране здоровья детей. Агенты APT получили доступ к известным учетным записям пользователей в больнице с IP-адреса 154.16.192 [.] 70, который, по мнению ФБР и CISA, связан с наступательной киберактивностью правительства Ирана.
  • По состоянию на октябрь 2021 года эти APT-субъекты использовали уязвимость Microsoft Exchange ProxyShell — CVE-2021-34473 — для получения первоначального доступа к системам до выполнения последующих операций.

Информация, включенная в эти совместные рекомендации, совпадает с деталями, опубликованными в отчете Microsoft Threat Intelligence Center (MSTIC) во вторник.

В отчете Microsoft предоставила информацию  об эволюции иранских APT  и их способности адаптироваться в качестве постоянно меняющейся угрозы.

Microsoft заявила, что отслеживает шесть иранских групп угроз, которые развертывают программы-вымогатели и извлекают данные в ходе атак, начавшихся в сентябре 2020 года.

MSTIC наблюдала, как они сканируют и используют уязвимости во многих продуктах, включая Fortinet FortiOS SSL VPN и сервер Microsoft Exchange, уязвимый для ошибок ProxyShell.

Неделю назад ФБР также предупредило партнеров из частного сектора о том, что иранский злоумышленник пытается купить украденную информацию, связанную с американскими и мировыми организациями, из открытых и темных веб-источников, чтобы взломать их системы.

«ФБР, CISA, ACSC и NCSC призывают критически важные инфраструктурные организации применять рекомендации, перечисленные в разделе« Меры по смягчению последствий »настоящего информационного бюллетеня, чтобы снизить риск компрометации со стороны спонсируемых правительством Ирана киберпреступников», — добавили агентства.

Более подробную техническую информацию об этих атаках, включая индикаторы компрометации, тактику и методы MITER ATT & CK, меры обнаружения и смягчения, можно найти в совместном информационном сообщении, опубликованном ранее сегодня.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here