Iranische Hacker verfolgen die kritische Unterbau jener USA
[ad_1]
Verantwortliche Organisationen Kritische Infrastrukturen in den USA stünden im Fadenkreuz iranischer Regierungshacker, die bekannte Sicherheitslücken in Unternehmensprodukten von Microsoft und Fortinet ausnutzen, warnten Regierungsvertreter aus den USA, Großbritannien und fünfter Kontinent am Mittwoch.
In einem am Mittwoch veröffentlichten gemeinsamen Gutachten heißt es, dass eine mit jener iranischen Regierung verbündete Menschenschar fortgeschrittener Hacker z. Hd. persistente Bedrohungen Sicherheitslücken in Microsoft Exchange und Fortinets FortiOS ausnutzt, die die Grundlage z. Hd. die Sicherheitsangebote des letztgenannten Unternehmens vertreten. Allesamt identifizierten Schwachstellen wurden gepatcht, freilich nicht jeder, jener die Produkte verwendet, hat die Updates installiert. Dies Advisory wurde vom FBI, jener US Cybersecurity and Infrastructure Security Agency, dem britischen Nationalistisch Cyber Security Center und dem Australian Cyber Security Center veröffentlicht.
Eine breite Palette von Zielen
„Die von jener iranischen Regierung gesponserten APT-Akteure zielen rege hinaus ein breites Spektrum von Opfern in mehreren kritischen Infrastruktursektoren jener USA ab, einschließlich des Verkehrssektors und des Gesundheitswesens und des öffentlichen Gesundheitswesens sowie australischen Organisationen“, heißt es in dem Gutachten. „FBI, CISA, ACSC und NCSC festsetzen die Akteure [that] zusammenfassen sich darauf, bekannte Schwachstellen auszunutzen, anstatt hinaus bestimmte Sektoren abzuzielen. Jene von jener iranischen Regierung gesponserten APT-Akteure können diesen Zugriff z. Hd. Folgeoperationen wie Datenexfiltration oder -verschlüsselung, Ransomware und Erpressung nutzen.“
Laut dem Gutachten nach sich ziehen FBI und CISA beobachtet, dass die Menschenschar seit dieser Zeit mindestens März Fortinet-Schwachstellen und seit dieser Zeit mindestens zehnter Monat des Jahres Microsoft Exchange-Schwachstellen ausnutzt, um ersten Zugang zu Systemen zu erhalten. Die Hacker initiieren dann Folgeoperationen, zu denen ebenfalls die Zurverfügungstellung von Ransomware gehört.
Im Mai zielten die Angreifer hinaus eine namenlose US-Kirchgemeinde, wo sie wahrscheinlich ein Konto mit dem Benutzernamen „elie“ erstellten, um sich weiter in dasjenige kompromittierte Netzwerk einzudringen. Kombinieren Monat später hackten sie ein US-Krankenhaus, dasjenige sich hinaus die Gesundheitsversorgung von Kindern spezialisiert hatte. Welcher letztere Überfall betraf wahrscheinlich mit dem Persien verbundene Server c/o 91.214.124 .[.]143, 162.55.137[.]20 und 154.16.192[.]70.
Im vergangenen Monat nutzten die APT-Akteure Sicherheitslücken in Microsoft Exchange aus, die ihnen im Vorfeld von Folgeoperationen zusammenführen ersten Zugang zu Systemen ermöglichten. Die australischen Behörden sagten, sie hätten ebenfalls beobachtet, wie die Menschenschar den Exchange-Fehler ausnutzte.
Ästimieren Sie hinaus unbekannte Benutzerkonten
Die Hacker nach sich ziehen unter Umständen neue Benutzerkonten hinaus den Domänencontrollern, Servern, Arbeitsstationen und aktiven Verzeichnissen von Netzwerken erstellt, die sie kompromittiert nach sich ziehen. Wenige jener Konten scheinen bestehende Konten nachzuahmen, von dort unterscheiden sich die Benutzernamen oft von Zielorganisation zu Zielorganisation. In jener Ratschlag heißt es, dass dasjenige Netzwerksicherheitspersonal nachdem unbekannten Konten suchen sollte, mit besonderem Augenmerk hinaus Benutzernamen wie Support, Hilfe, elie und WADGUtilityAccount.
Die Meldung kommt zusammenführen Tag, nachdem Microsoft berichtet hat, dass eine iranisch ausgerichtete Menschenschar namens Phosphorous zunehmend Ransomware einsetzt, um Einnahmen zu generieren oder Gegner zu stören. Die Menschenschar setze “aggressive Brute-Force-Angriffe” hinaus Ziele ein, fügte Microsoft hinzu.
Herkunft des Jahres, so Microsoft, habe Phosphorus Mio. von IP-Adressen hinaus jener Suche nachdem FortiOS-Systemen gescannt, die noch die Sicherheitsfixes z. Hd. CVE-2018-13379 installieren mussten. Welcher Fehler ermöglichte es den Hackern, Klartext-Anmeldeinformationen abzugreifen, die z. Hd. den Remote-Zugriff hinaus die Server verwendet wurden. Phosphorus sammelte schließlich Anmeldeinformationen von mehr qua 900 Fortinet-Servern in den USA, Europa und Israel.
In jüngerer Zeit wechselte Phosphorus zum Scannen nachdem lokalen Exchange-Servern, die unbeständig z. Hd. CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 und CVE-2021-27065 sind, eine Konstellation von Fehlern, die unter dem Namen ProxyShell familiär sind . Microsoft hat die Sicherheitslücken im März behoben.
„Wie sie anfällige Server identifizierten, versuchte Phosphorus, hinaus den Zielsystemen Persistenz zu erlangen“, sagte Microsoft. „In einigen Fällen nach sich ziehen die Schauspieler zusammenführen Plink-Läuferstein im Mauerwerk namens . heruntergeladen MicrosoftOutLookUpdater.exe. Jene File würde regelmäßig obig SSH hinaus ihre C2-Server veräußern, sodass die Akteure weitere Befehle erteilen können. Später würden die Schauspieler ein benutzerdefiniertes Implantat obig zusammenführen Base64-codierten PowerShell-Gebot herunterladen. Dieses Implantat etablierte die Persistenz hinaus dem Opfersystem, während es die Startregistrierungsschlüssel änderte und fungierte letztendlich qua Lader zum Herunterladen zusätzlicher Tools.“
Identifizierung hochwertiger Ziele
In dem Microsoft-Weblog-Postdienststelle heißt es ebenfalls, dass die Hacker, nachdem sie sich dauerhaften Zugriff verschafft hatten, Hunderte von Opfern durchsuchten, um die interessantesten Ziele z. Hd. Folgeangriffe zu identifizieren. Anschließend erstellten die Hacker lokale Administratorkonten mit dem Benutzernamen „help“ und dem Passwort „_AS_@1394“. In einigen Fällen nach sich ziehen die Akteure LSASS abgeladen, um Zugangsdaten z. Hd. die spätere Verwendung zu erhalten.
Microsoft sagte ebenfalls, dass es die Menschenschar beobachtet habe, die Microsofts BitLocker-Unterprogramm zur vollständigen Festplattenverschlüsselung verwendet, die Fakten schützen und die Vollstreckung nicht autorisierter Software verhindern soll.