A aktor ancaman Iran yang didukung negara telah menggunakan beberapa CVE – termasuk kerentanan Fortinet yang serius selama berbulan-bulan dan kelemahan Microsoft Exchange ProxyShell selama berminggu-minggu – mencari untuk mendapatkan pijakan dalam jaringan sebelum bergerak secara lateral dan meluncurkan ransomware BitLocker dan nastiness lainnya.
A nasihat bersama diterbitkan oleh CISA pada hari Rabu dimaksudkan untuk menyoroti serangan siber berbahaya yang sedang berlangsung, yang telah dilacak oleh FBI, Badan Keamanan Siber dan Infrastruktur AS (CISA), Pusat Keamanan Siber Australia (ACSC) dan Keamanan Siber Nasional Inggris. Pusat (NCSC). Semua badan keamanan telah melacak serangan ke ancaman persisten lanjutan (APT) yang disponsori pemerintah Iran.
APT Iran telah mengeksploitasi kerentanan Fortinet setidaknya sejak Maret 2021 dan kerentanan Microsoft Exchange ProxyShell setidaknya sejak Oktober 2021, menurut peringatan. Kelemahannya adalah memberi penyerang akses awal ke sistem yang kemudian mengarah ke operasi lanjutan termasuk ransomware, eksfiltrasi atau enkripsi data, dan pemerasan.
APT telah menggunakan kerentanan Microsoft Exchange yang sama di Australia.
CISA Peringatan Mengikuti Laporan Microsoft tentang Enam Ancaman Iran Peringatan Groups
CISA muncul setelah analisis evolusi aktor ancaman Iran yang dirilis oleh Pusat Intelijen Ancaman Microsoft (MSTIC) pada hari Selasa. Para peneliti
MSTIC menyebut tiga tren yang mereka lihat muncul sejak mereka mulai melacak enam kelompok APT Iran yang semakin canggih di September 2020:
- Mereka semakin memanfaatkan ransomware untuk mengumpulkan dana atau mengganggu target mereka.Mereka lebih sabar dan gigih saat terlibat dengan target mereka.Sementara operator Iran lebih sabar dan gigih dengan kampanye rekayasa sosial mereka, mereka terus menggunakan kekerasan agresif serangan pada target mereka.
Mereka telah melihat serangan ransomware datang dalam gelombang, rata-rata setiap enam hingga delapan minggu, seperti yang ditunjukkan pada garis waktu di bawah.
Garis waktu serangan ransomware oleh aktor ancaman Iran. Sumber: MSTIC.
Sesuai dengan apa yang dijelaskan CISA pada hari Rabu, MSTIC telah melihat kelompok Fosfor yang terkait dengan Iran – alias sejumlah nama, termasuk Charming Kitten, TA453, APT35, Tim Keamanan Ajax, NewsBeef dan Newscaster – secara global menargetkan Bursa dan Kelemahan Fortinet “dengan maksud menyebarkan ransomware pada jaringan yang rentan.”
Para peneliti menunjuk ke posting blog baru-baru ini oleh Laporan DFIR yang menggambarkan intrusi serupa, di mana penyerang mengeksploitasi kerentanan di Server Exchange lokal untuk mengkompromikan lingkungan target mereka dan mengenkripsi sistem melalui BitLocker ransomware: aktivitas yang juga dikaitkan MSTIC dengan Phosphorous.
Tidak Ada Sektor Tertentu yang Ditargetkan
Aktor ancaman yang tercakup dalam peringatan CISA tidak menargetkan sektor tertentu. Sebaliknya, mereka berfokus pada mengeksploitasi kerentanan Fortinet dan Exchange yang tak tertahankan.
Peringatan menyarankan bahwa aktor APT “secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia.”
Malicious Activity
Sejak Maret, aktor APT Iran telah memindai perangkat pada port 4443, 8443, dan 10443 untuk menemukan kerentanan serius Fortinet FortiOS yang dilacak sebagai CVE-2018-13379 – masalah lintasan jalur di Fortinet FortiOS, di mana portal web SSL VPN memungkinkan penyerang yang tidak diautentikasi untuk mengunduh file sistem melalui permintaan sumber daya HTTP yang dibuat secara khusus.
Ini déjà vu lagi: Pada bulan April, CISA telah memperingatkan tentang port yang sama yang dipindai oleh penyerang cyber yang mencari kelemahan Fortinet . Dalam peringatan April (PDF), CISA mengatakan bahwa sepertinya aktor APT mengejar akses "ke beberapa jaringan layanan pemerintah, komersial, dan teknologi." CVE “untuk melakukan serangan distributed denial-of-service (DDoS), serangan ransomware, serangan injeksi bahasa kueri terstruktur (SQL), kampanye spearphishing, perusakan situs web, dan kampanye disinformasi.”
CVE-2018-13379 hanyalah salah satu dari tiga kerentanan keamanan di Fortinet SSL VPN bahwa badan keamanan telah melihat digunakan untuk mendapatkan pijakan dalam jaringan sebelum bergerak ke samping dan melakukan pengintaian, seperti yang dikatakan FBI dan CISA dalam peringatan April.
Menurut laporan hari Rabu, aktor APT juga menghitung perangkat untuk pasangan kerentanan FortiOS yang tersisa di trio CISA yang dieksploitasi pada bulan Maret, yaitu:
- CVE-2020-12812, kerentanan otentikasi yang tidak tepat di SSL VPN di FortiOS yang memungkinkan pengguna untuk berhasil masuk tanpa diminta untuk faktor otentikasi kedua (FortiToken) jika mereka mengubah kasus nama pengguna mereka, danCVE-2019-5591: kerentanan konfigurasi default di FortiOS yang dapat mengizinkan penyerang yang tidak diautentikasi pada subnet yang sama untuk mencegat informasi sensitif dengan meniru server LDAP.
“Aktor APT yang disponsori Pemerintah Iran kemungkinan mengeksploitasi kerentanan ini untuk mendapatkan akses ke jaringan yang rentan,” menurut alert.
pada hari Rabu, orang Iran yang sama aktor juga mengeksploitasi firewall Fortinet FortiGate untuk mendapatkan akses ke domain pemerintah kota AS. “Para aktor kemungkinan membuat akun dengan nama pengguna “elie” untuk lebih mengaktifkan aktivitas jahat,” kata CISA, menunjuk ke peringatan kilat FBI (PDF) sebelumnya tentang insiden tersebut.
Pada bulan Juni, aktor APT yang sama mengeksploitasi alat keamanan FortiGate lainnya untuk mengakses jaringan kontrol lingkungan yang terkait dengan rumah sakit anak-anak AS setelah kemungkinan memanfaatkan server yang ditetapkan ke alamat IP 91.214.124[.]143 dan 162.55.137[.]20: alamat yang telah dikaitkan FBI dan CISA dengan aktivitas dunia maya pemerintah Iran. Mereka melakukannya untuk “lebih mengaktifkan aktivitas jahat terhadap jaringan rumah sakit,” jelas CISA.
“Aktor APT mengakses akun pengguna yang dikenal di rumah sakit dari alamat IP 154.16.192[.]70, yang menurut hakim FBI dan CISA terkait dengan pemerintah aktivitas siber ofensif Iran,” kata CISA.
Namun Lebih Banyak Serangan Exchange ProxyShell
Akhirnya, komplotan itu beralih untuk mengeksploitasi kerentanan Microsoft Exchange ProxyShell – CVE-2021-34473 – bulan lalu, untuk, sekali lagi, mendapatkan akses awal ke sistem sebelum operasi lanjutan. ACSC percaya bahwa grup tersebut juga telah menggunakan CVE-2021-34473 di Australia.
ProxyShell adalah nama yang diberikan untuk serangan yang menyatukan trio kerentanan (CVE-2021-34473, CVE-2021-34523, CVE-2021-31207) , untuk memungkinkan penyerang yang tidak diautentikasi melakukan eksekusi kode jarak jauh (RCE) dan untuk mengambil kata sandi teks biasa.
Serangan itu diuraikan dalam presentasi (PDF) yang diberikan oleh peneliti keamanan utama Devcore Orange Tsai di Black Hat pada bulan April. Di dalamnya, Tsai mengungkapkan permukaan serangan yang sama sekali baru di Exchange, dan rentetan serangan segera menyusul. August dibanjiri laporan tentang aktor ancaman yang mengeksploitasi ProxyShell untuk meluncurkan serangan webshell, serta mengirimkan LockFile ransomware.
Indications of Compromise
Peringatan terperinci CISA memberikan daftar taktik dan teknik yang digunakan oleh APT.
yang terkait dengan IranSalah satu dari banyak indikator kompromi (IOC) yang terlihat adalah akun pengguna baru yang mungkin telah dibuat oleh APT pada pengontrol domain, server, workstation, dan direktori aktif [T1136.001, T1136.002].
“Beberapa akun ini tampaknya telah dibuat agar terlihat mirip dengan akun lain yang ada di jaringan, sehingga nama akun tertentu dapat bervariasi per organisasi,” saran CISA.
Selain akun pengguna yang tidak dikenal atau akun yang dibuat untuk menyamar sebagai akun yang ada, nama pengguna akun ini mungkin terkait dengan aktivitas APT:
< ul>SupportBantuanelieWADGUtilityAccountlunya Analisis Selasa, peneliti MSTIC memperingatkan bahwa operasi Iran rs fleksibel, sabar dan mahir, “[telah] mengadaptasi tujuan strategis dan keahlian mereka.” Seiring waktu, kata mereka, operator telah berkembang menjadi “pelaku ancaman yang lebih kompeten yang mampu melakukan operasi spektrum penuh, termasuk:
- Operasi informasiGangguan dan penghancuranDukungan untuk operasi fisik
Secara khusus, pelaku ancaman ini terbukti mampu melakukan semua operasi ini, kata peneliti:
- Deploy ransomwareMenyebarkan disk wipersMenyebarkan malware selulerMelakukan serangan phishingMelakukan serangan semprotan kata sandiMelakukan serangan eksploitasi massalMelakukan serangan rantai pasokanMenyelimuti komunikasi C2 di belakang layanan cloud yang sah
Ingin memenangkan kembali kendali atas kata sandi tipis yang berdiri di antara jaringan Anda dan serangan siber berikutnya? Bergabunglah dengan Darren James, kepala TI internal di Specops, dan Roger Grimes, penginjil pertahanan berbasis data di KnowBe4, untuk mengetahui caranya selama acara LIVE Threatpost gratis, “Reset Kata Sandi: Mengklaim Kontrol Kredensial untuk Menghentikan Serangan,” HARI INI, Rabu, 17 November jam 2 siang ET. Disponsori oleh Specops.
Daftar SEKARANG untuk acara LIVE!
Tulis komentar
Bagikan artikel ini:
- iKeamanan Web