ФБР, CISA, АНБ, CSE, AFP и ASD's ACSC выпустили совместный совет по кибербезопасности, посвященный иранским злоумышленникам, которые с октября 2023 года активно атакуют организации в различных секторах критической инфраструктуры, включая здравоохранение, общественное здоровье, правительство, ИТ, машиностроение и энергетику. Они получают несанкционированный доступ к сетям, применяя атаки грубой силы, такие как распыление паролей, и используя многофакторную аутентификацию (MFA) с помощью таких тактик, как «push bombing» и «MFA fatigue».
Описание
Эти субъекты первоначально проникают в сети, используя действительные учетные записи электронной почты пользователей и групп, часто используя системы Microsoft 365, Azure, Citrix и Okta, а иногда эксплуатируя внешние удаленные сервисы. Попав в сеть, они сохраняют устойчивость, регистрируя свои устройства для MFA и манипулируя учетными записями и процессами аутентификации. Для латерального перемещения внутри сети злоумышленники используют протокол удаленного рабочего стола (RDP) и применяют инструменты с открытым исходным кодом для доступа к учетным данным, включая перечисление билетов Kerberos и подстановку паролей.
Они пытаются повысить привилегии, используя такие уязвимости, как Zerologon (CVE-2020-1472), и выдавая себя за контроллеры домена. Агенты также осуществляют обнаружение с помощью методов live-off-the-land (LOTL) и PowerShell для сбора информации о контроллерах домена, доверенных доменах, учетных записях администраторов и системной информации. Командование и контроль осуществляются с помощью веб-протоколов, с использованием таких инструментов, как Cobalt Strike Beacon C2 infrastructure, и они часто используют VPN, такие как частный доступ в Интернет, для маскировки своей деятельности.
В рекомендации отмечается, что некоторые из тактик, методов и процедур (TTP) и индикаторов компрометации (IOC) могут быть связаны со сторонними субъектами, которые приобрели доступ у иранской группы, но при этом предостерегается от приписывания всей активности иранским субъектам только на основании TTP и IOC. С этой вредоносной активностью были связаны конкретные хэши и ряд IP-адресов, при том понимании, что на этих IP могут располагаться действующие домены, которые часто меняются киберпреступниками. Такие устройства, как Samsung Galaxy A71 (SM-A715F), Samsung SM-G998B и Samsung SM-M205F, были зарегистрированы в MFA в связи с этой деятельностью.
Indicators of Compromise
IPv4
- 102.129.152.60
- 102.129.153.182
- 102.129.235.127
- 102.129.235.186
- 102.165.16.127
- 146.70.102.3
- 149.40.50.45
- 149.57.16.134
- 149.57.16.137
- 149.57.16.150
- 149.57.16.160
- 149.57.16.37
- 154.16.192.37
- 154.16.192.38
- 154.6.13.139
- 154.6.13.144
- 154.6.13.151
- 156.146.60.74
- 172.98.71.191
- 173.239.232.20
- 181.214.166.132
- 181.214.166.59
- 188.126.89.35
- 188.126.94.166
- 188.126.94.57
- 188.126.94.60
- 191.101.217.10
- 191.96.106.33
- 191.96.150.14
- 191.96.150.21
- 191.96.150.50
- 191.96.150.96
- 191.96.227.102
- 191.96.227.113
- 191.96.227.122
- 191.96.227.159
- 212.102.39.212
- 212.102.57.29
- 37.19.197.182
- 37.46.113.206
- 45.88.97.225
- 46.246.122.185
- 46.246.3.186
- 46.246.3.196
- 46.246.3.223
- 46.246.3.225
- 46.246.3.226
- 46.246.3.233
- 46.246.3.239
- 46.246.3.240
- 46.246.3.245
- 46.246.8.10
- 46.246.8.104
- 46.246.8.137
- 46.246.8.138
- 46.246.8.141
- 46.246.8.17
- 46.246.8.47
- 46.246.8.53
- 46.246.8.67
- 46.246.8.82
- 46.246.8.84
- 84.239.25.13
- 84.239.45.17
- 89.149.38.204
- 95.181.234.12
- 95.181.234.15
- 95.181.234.25
- 95.181.235.8
MD5
- a30ffebf2c87a6dfd4946213263f2760
- b27c2e0141bbb3a7907a5ec1863e1465
SHA1
- 1f96d15b26416b2c7043ee7172357af3afbb002a
- 3d3cdf7cfc881678febcafb26ae423fe5aa4efec
SHA256
- 09407d2e3ac7d6af13c407d17ec8e51b6d1b1d8271df65ebd0b3ffbab420b2fe
- b729962dd554dc2cba31ac9f7b9046eb119e7b4ae299d674f65ee9eba5679d62
