خبر

  • تک بورد - ایالات متحده هشدار می دهد که مراقب باج افزارهای تحت حمایت دولت ایران باشید

    ایالات متحده هشدار می دهد که مراقب باج افزارهای تحت حمایت دولت ایران باشید
    21 روز و 1 ساعت قبل

    آسیب‌پذیری‌هایی که قبلاً توسط مایکروسافت و فورتی‌نت اصلاح شده‌اند، به‌طور انبوه مورد سوء استفاده قرار می‌گیرند.
    سازمان‌های مسئول زیرساخت‌های حیاتی در ایالات متحده در تیررس هکرهای دولتی ایران هستند که از آسیب‌پذیری‌های شناخته شده در محصولات شرکت‌های مایکروسافت و فورتی‌نت سوء استفاده می‌کنند، مقامات دولتی از آمریکا، انگلیس و استرالیا روز چهارشنبه هشدار دادند.

    در یک مشاوره مشترک که روز چهارشنبه منتشر شد، آمده است که یک گروه هک تهدید دائمی پیشرفته و همسو با دولت ایران از آسیب‌پذیری‌های موجود در Microsoft Exchange و FortiOS فورتی‌نت استفاده می‌کند، که مبنایی برای پیشنهادات امنیتی این شرکت است. همه آسیب‌پذیری‌های شناسایی‌شده اصلاح شده‌اند، اما همه کسانی که از محصولات استفاده می‌کنند، به‌روزرسانی‌ها را نصب نکرده‌اند. این مشاوره توسط FBI، آژانس امنیت سایبری و امنیت زیرساخت ایالات متحده، مرکز ملی امنیت سایبری بریتانیا، و مرکز امنیت سایبری استرالیا منتشر شد.

    طیف وسیعی از اهداف

    در این توصیه نامه آمده است که بازیگران APT تحت حمایت دولت ایران به طور فعال طیف گسترده ای از قربانیان را در چندین بخش زیرساختی حیاتی ایالات متحده، از جمله بخش حمل و نقل و بخش مراقبت های بهداشتی و بهداشت عمومی، و همچنین سازمان های استرالیایی هدف قرار می دهند. FBI، CISA، ACSC و NCSC ارزیابی می‌کنند که بازیگران به جای هدف قرار دادن بخش‌های خاص، بر روی بهره‌برداری از آسیب‌پذیری‌های شناخته شده متمرکز هستند. این بازیگران APT تحت حمایت دولت ایران می‌توانند از این دسترسی برای عملیات‌های بعدی، مانند استخراج داده‌ها یا رمزگذاری، باج‌افزار، و اخاذی استفاده کنند. آسیب‌پذیری‌های Fortinet حداقل از ماه مارس و آسیب‌پذیری‌های Microsoft Exchange حداقل از اکتبر برای دسترسی اولیه به سیستم‌ها. سپس هکرها عملیات‌های بعدی را آغاز می‌کنند که شامل استقرار باج‌افزار می‌شود.

    در ماه مه، مهاجمان شهرداری ناشناس ایالات متحده را هدف قرار دادند، جایی که احتمالاً یک حساب کاربری با نام کاربری "elie" برای نفوذ بیشتر به شبکه در معرض خطر ایجاد کردند. . یک ماه بعد، آنها یک بیمارستان مستقر در ایالات متحده را هک کردند که متخصص مراقبت های بهداشتی برای کودکان بود. حمله اخیر احتمالاً شامل سرورهای مرتبط با ایران در 91.214.124[.]143، 162.55.137[.]20، و 154.16.192[.]70 می‌شود.

    تبلیغات

    ماه گذشته، بازیگران APT مورد سوء استفاده قرار گرفتند. آسیب‌پذیری‌های Microsoft Exchange که به آنها امکان دسترسی اولیه به سیستم‌ها را قبل از عملیات بعدی می‌داد. مقامات استرالیایی گفتند که آنها همچنین گروهی را مشاهده کردند که از نقص Exchange استفاده می کرد.

    مراقب حساب های کاربری ناشناس باشید

    هکرها ممکن است حساب های کاربری جدیدی در کنترل کننده های دامنه، سرورها، ایستگاه های کاری ایجاد کرده باشند. و دایرکتوری های فعال شبکه هایی که آنها به خطر انداخته اند. به نظر می‌رسد برخی از حساب‌ها از حساب‌های موجود تقلید می‌کنند، بنابراین نام‌های کاربری اغلب از سازمان هدف به سازمان هدف متفاوت است. این مشاوره گفت که پرسنل امنیت شبکه باید حساب‌های ناشناخته را با توجه ویژه به نام‌های کاربری مانند Support، Help، elie، و WADGUtilityAccount جستجو کنند.

    این توصیه یک روز پس از آن ارائه می‌شود که مایکروسافت گزارش داد که یک گروه همسو با ایران را فراخوانی می‌کند. فسفر به طور فزاینده ای از باج افزار برای ایجاد درآمد یا ایجاد اختلال در دشمنان استفاده می کند. مایکروسافت افزود، این گروه از "حملات تهاجمی با نیروی بی رحم" به اهداف استفاده می کند.

    مایکروسافت گفت در اوایل سال جاری، فسفر میلیون ها آدرس IP اینترنتی را در جستجوی سیستم های FortiOS که هنوز راه حل های امنیتی را نصب نکرده بودند اسکن کرد. CVE-2018-13379. این نقص به هکرها این امکان را می‌دهد تا اعتبارنامه‌های متن شفافی را که برای دسترسی از راه دور به سرورها استفاده می‌شوند، جمع‌آوری کنند. فسفر از بیش از 900 سرور Fortinet در ایالات متحده، اروپا و اسرائیل اعتبار جمع آوری کرد.

    ادامه مطلب

    مایکروسافت وصله های اضطراری را برای 4 روز 0 روزه مورد سوء استفاده قرار می دهد. در Exchange اخیراً، فسفر به اسکن برای سرورهای Exchange در محل آسیب پذیر در برابر CVE-2021-26855، CVE-2021-26857، CVE-2021-26858، و CVE-2021-27065 تغییر یافته است، مجموعه ای از ایرادات. ProxyShell. مایکروسافت در ماه مارس این آسیب پذیری ها را برطرف کرد.

    مایکروسافت گفت: "وقتی آنها سرورهای آسیب پذیر را شناسایی کردند، فسفر به دنبال پایداری در سیستم های هدف بود." در برخی موارد، بازیگران یک Plink runner به نام MicrosoftOutLookUpdater.exe را دانلود کردند. این فایل به صورت دوره‌ای از طریق SSH به سرورهای C2 آنها ارسال می‌شود و به بازیگران اجازه می‌دهد تا دستورات بیشتری را صادر کنند. بعداً، بازیگران یک ایمپلنت سفارشی را از طریق یک فرمان PowerShell با کد Base64 دانلود کردند. این ایمپلنت با تغییر کلیدهای رجیستری راه‌اندازی، پایداری را در سیستم قربانی ایجاد کرد و در نهایت به عنوان بارگیری برای دانلود ابزارهای اضافی عمل کرد."





خبرهای دیگر از گجت ها