《電子技術(shù)應(yīng)用》
您所在的位置:首頁 > 通信與網(wǎng)絡(luò) > 業(yè)界動態(tài) > Fortinet和Microsoft Exchange的N-day漏洞仍被伊朗APT大量利用,美英澳三國網(wǎng)安機(jī)構(gòu)發(fā)布聯(lián)合警報(bào)

Fortinet和Microsoft Exchange的N-day漏洞仍被伊朗APT大量利用,美英澳三國網(wǎng)安機(jī)構(gòu)發(fā)布聯(lián)合警報(bào)

2021-11-19
來源:網(wǎng)空閑話
關(guān)鍵詞: N-day漏洞

  美國東部時(shí)間11月17日上午,美國、英國和澳大利亞政府機(jī)構(gòu)聯(lián)合發(fā)布的一份報(bào)告警告說,伊朗政府支持的威脅行動者正在利用Fortinet和Microsoft Exchange漏洞對美國以及澳大利亞的一些組織的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊。該聯(lián)合網(wǎng)絡(luò)安全咨詢公告是聯(lián)邦調(diào)查局 (FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 (CISA)、澳大利亞網(wǎng)絡(luò)安全中心 (ACSC) 和英國國家網(wǎng)絡(luò)安全中心 (NCSC) 多國協(xié)作分析的結(jié)果。

  至少自2021年3月以來,已觀察到攻擊組織利用Fortinet漏洞進(jìn)行攻擊,并自2021年10月以來針對Microsoft Exchange ProxyShell漏洞進(jìn)行初始突破。

  聯(lián)邦調(diào)查局(FBI)、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局(CISA)、澳大利亞網(wǎng)絡(luò)安全中心(ACSC)、英國國家網(wǎng)絡(luò)安全中心(NCSC)的聯(lián)合咨詢報(bào)告稱,攻擊目標(biāo)包括美國和澳大利亞的運(yùn)輸、醫(yī)療保健和公共衛(wèi)生部門。

  2021年3月,觀察到伊朗政府資助的APT行為體瞄準(zhǔn)Fortinet FortiOS漏洞,如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812,以獲得訪問脆弱網(wǎng)絡(luò)的權(quán)限。

  在2021年5月,同樣的攻擊者利用了Fortigate設(shè)備中的一個(gè)漏洞,入侵了托管美國市政府域的web服務(wù)器,并創(chuàng)建了一個(gè)名為elie的帳戶以保持對資源的訪問。

  2021年6月,伊朗APTs利用Fortigate設(shè)備攻陷了與美國一家兒童保健醫(yī)院相關(guān)的網(wǎng)絡(luò)。與伊朗政府網(wǎng)絡(luò)活動相關(guān)的IP地址被發(fā)現(xiàn)用于其他有針對性的惡意活動。

  從2021年10月開始,與伊朗政府有關(guān)聯(lián)的攻擊組織利用微軟Exchange ProxyShell漏洞CVE-2021-34473,首次突破目標(biāo)的環(huán)境。ACSC認(rèn)為,APT組織在攻擊澳大利亞實(shí)體時(shí)使用了同樣的漏洞。微軟Exchange服務(wù)器中被稱為 ProxyShell的漏洞有4個(gè),這些漏洞最初被黑客用作零日漏洞。但微軟在 4 月份發(fā)布了針對這些漏洞的補(bǔ)丁。

  在初始突破之后,攻擊者可能修改Task Scheduler任務(wù)以執(zhí)行有效負(fù)載,并在域控制器、活動目錄、服務(wù)器和工作站上創(chuàng)建新帳戶以實(shí)現(xiàn)持久的潛伏。

  在攻擊過程中,攻擊者使用了各種工具來獲取憑證。如經(jīng)典的Mimikatz、特權(quán)升級(WinPEAS)、數(shù)據(jù)歸檔(WinRAR)和文件傳輸(FileZilla)。還使用了SharpWMI (Windows Management Instrumentation)。

  另據(jù)微軟最新的跟蹤研究表明,伊朗網(wǎng)絡(luò)攻擊組織正在轉(zhuǎn)向勒索攻擊 。自2020年9月以來,每六到八周就會出現(xiàn)一波勒索軟件攻擊。俄羅斯通常被視為最大的網(wǎng)絡(luò)犯罪勒索軟件威脅的發(fā)源地,但來自朝鮮和伊朗的國家支持的攻擊者也對勒索軟件表現(xiàn)出越來越大的興趣。據(jù)微軟稱,APT35還針對未打補(bǔ)丁的本地Exchange服務(wù)器和 Fortinet的FortiOS SSL VPN以部署勒索軟件。其他網(wǎng)絡(luò)安全公司去年檢測到伊朗國家支持的黑客使用已知的Microsoft Exchange漏洞在電子郵件服務(wù)器和Thanos勒索軟件上安裝持久性網(wǎng)絡(luò)外殼的勒索軟件有所增加。CrowdStrike的研究表明,伊朗網(wǎng)絡(luò)攻擊組織已經(jīng)意識到勒索軟件作為一種網(wǎng)絡(luò)攻擊能力的潛力,能夠以較低的成本,對受害者造成破壞性影響。

  在聯(lián)合咨詢中,F(xiàn)BI、CISA、ACSC和NCSC敦促各組織立即對目標(biāo)漏洞應(yīng)用補(bǔ)丁、評估和更新黑白名單、落實(shí)數(shù)據(jù)備份的策略和過程、落實(shí)網(wǎng)絡(luò)分區(qū)隔離、強(qiáng)化用戶賬戶管理、落實(shí)雙因素認(rèn)證、強(qiáng)化口令質(zhì)量、加強(qiáng)RDP類遠(yuǎn)程接入訪問、升級反病毒應(yīng)用等。它們還提供了損害指標(biāo)(IoCs),以幫助檢測潛在的損害,以及一系列緩解建議,以加強(qiáng)網(wǎng)絡(luò)抵御潛在的攻擊。




電子技術(shù)圖片.png

本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。