Агентства по кибербезопасности США, Великобритании и Австралии предупредили сегодня о продолжающейся эксплуатации уязвимостей Microsoft Exchange ProxyShell и Fortinet, связанных с поддерживаемой Ираном хакерской группой.
Предупреждение было выпущено в качестве совместной рекомендации, выпущенной Агентством кибербезопасности и безопасности инфраструктуры (CISA), Федеральным бюро расследований (ФБР), Австралийским центром кибербезопасности (ACSC) и Национальным центром кибербезопасности Соединенного Королевства (NCSC).
«ФБР и CISA наблюдали, что эта спонсируемая правительством Ирана группа APT использует уязвимости Fortinet по крайней мере с марта 2021 года и уязвимость Microsoft Exchange ProxyShell по крайней мере с октября 2021 года, чтобы получить первоначальный доступ к системам перед последующими операциями, которые включают развертывание программ-вымогателей. , — сказали в CISA.
«ACSC также известно, что эта APT-группа использовала ту же уязвимость Microsoft Exchange в Австралии», — говорится в совместном сообщении.
Хакеры из иранского государства сосредотачивают свои атаки на критически важных секторах инфраструктуры США (например, транспорт, здравоохранение) и австралийских организациях.
Они стремятся получить первоначальный доступ к целям из критических секторов, которые впоследствии могут быть использованы для других гнусных целей, включая кражу данных, развертывание программ-вымогателей и вымогательство.
CISA и ФБР также поделились информацией о нескольких случаях, когда наблюдалась спонсируемая Ираном хакерская группа, в том числе:
- В марте 2021 года ФБР и CISA наблюдали, как эти спонсируемые правительством Ирана участники APT сканируют устройства на портах 4443, 8443 и 10443 на предмет уязвимости Fortinet FortiOS CVE-2018-13379 и перечисляют устройства на наличие уязвимостей FortiOS CVE-2020-12812 и CVE- 2019-5591. Спонсируемые правительством Ирана субъекты APT, вероятно, использовали эти уязвимости для получения доступа к уязвимым сетям.
- В мае 2021 года эти спонсируемые правительством Ирана участники APT использовали устройство Fortigate для доступа к веб-серверу, на котором размещен домен муниципального правительства США. Скорее всего, злоумышленники создали учетную запись с именем пользователя elie, чтобы в дальнейшем активировать вредоносную деятельность.
- В июне 2021 года эти APT-участники использовали устройство Fortigate для доступа к сетям контроля окружающей среды, связанным с американской больницей, специализирующейся на охране здоровья детей. Агенты APT получили доступ к известным учетным записям пользователей в больнице с IP-адреса 154.16.192 [.] 70, который, по мнению ФБР и CISA, связан с наступательной киберактивностью правительства Ирана.
- По состоянию на октябрь 2021 года эти APT-субъекты использовали уязвимость Microsoft Exchange ProxyShell — CVE-2021-34473 — для получения первоначального доступа к системам до выполнения последующих операций.
Информация, включенная в эти совместные рекомендации, совпадает с деталями, опубликованными в отчете Microsoft Threat Intelligence Center (MSTIC) во вторник.
В отчете Microsoft предоставила информацию об эволюции иранских APT и их способности адаптироваться в качестве постоянно меняющейся угрозы.
Microsoft заявила, что отслеживает шесть иранских групп угроз, которые развертывают программы-вымогатели и извлекают данные в ходе атак, начавшихся в сентябре 2020 года.
MSTIC наблюдала, как они сканируют и используют уязвимости во многих продуктах, включая Fortinet FortiOS SSL VPN и сервер Microsoft Exchange, уязвимый для ошибок ProxyShell.
Неделю назад ФБР также предупредило партнеров из частного сектора о том, что иранский злоумышленник пытается купить украденную информацию, связанную с американскими и мировыми организациями, из открытых и темных веб-источников, чтобы взломать их системы.
«ФБР, CISA, ACSC и NCSC призывают критически важные инфраструктурные организации применять рекомендации, перечисленные в разделе« Меры по смягчению последствий »настоящего информационного бюллетеня, чтобы снизить риск компрометации со стороны спонсируемых правительством Ирана киберпреступников», — добавили агентства.
Более подробную техническую информацию об этих атаках, включая индикаторы компрометации, тактику и методы MITER ATT & CK, меры обнаружения и смягчения, можно найти в совместном информационном сообщении, опубликованном ранее сегодня.
Последнее обновление 05.01.2023
