بازیگران سایبری APT تحت حمایت دولت ایران که از آسیبپذیریهای Microsoft Exchange و Fortinet برای پیشبرد فعالیتهای مخرب سوء استفاده میکنند.

اقداماتی که باید امروز برای محافظت در برابر فعالیت های سایبری مخرب تحت حمایت دولت ایران انجام دهید • نرم افزاری را که تحت تأثیر آسیب پذیری های زیر قرار گرفته اند، فوراً وصله کنید: CVE-2021-34473، 2018-13379، 2020-12812، و 2019-5591.• احراز هویت چند عاملی را پیاده سازی کنید.• از رمزهای عبور قوی و منحصر به فرد استفاده کنید.

توجه: این توصیه از چارچوب MITER Adversarial Tactics, Techniques, and Common Knowledge (ATT& CK®) نسخه 10 استفاده می کند. برای همه تاکتیک ها و تکنیک های عامل تهدید ارجاع شده به ATT& CK برای Enterprise مراجعه کنید.

این مشاوره مشترک امنیت سایبری نتیجه تلاش های تحلیلی میان دفتر تحقیقات فدرال (FBI)، آژانس امنیت سایبری و امنیت زیرساخت (CISA)، مرکز امنیت سایبری استرالیا (ACSC) و مرکز امنیت سایبری ملی بریتانیا (NCSC) است.) برای برجسته کردن فعالیت های مخرب سایبری در حال انجام توسط یک گروه تهدید مداوم پیشرفته (APT) که FBI، CISA، ACSC و NCSC ارزیابی می کنند که با دولت ایران مرتبط است. FBI و CISA مشاهده کرده اند که این گروه APT تحت حمایت دولت ایران از آسیب پذیری های Fortinet حداقل از مارس 2021 و یک آسیب پذیری Microsoft Exchange ProxyShell حداقل از اکتبر 2021 برای دستیابی به دسترسی اولیه به سیستم ها قبل از عملیات بعدی، که شامل استقرار باج افزار است، سوء استفاده می کند. ACSC همچنین آگاه است که این گروه APT از همان آسیب پذیری Microsoft Exchange در استرالیا استفاده کرده است.

بازیگران APT تحت حمایت دولت ایران به طور فعال طیف گسترده ای از قربانیان را در چندین بخش زیرساختی حیاتی ایالات متحده، از جمله بخش حمل و نقل و بخش مراقبت های بهداشتی و بهداشت عمومی و همچنین سازمان های استرالیایی هدف قرار می دهند. FBI، CISA، ACSC و NCSC ارزیابی می کنند که بازیگران به جای هدف قرار دادن بخش های خاص، بر روی بهره برداری از آسیب پذیری های شناخته شده متمرکز هستند. این بازیگران APT تحت حمایت دولت ایران می توانند از این دسترسی برای عملیات های بعدی، مانند استخراج یا رمزگذاری داده ها، باج افزار، و اخاذی استفاده کنند.

این مشاوره تاکتیک ها و تکنیک های مشاهده شده و همچنین شاخص های سازش (IOCs) را ارائه می دهد که FBI، CISA، ACSC و NCSC ارزیابی می کنند که احتمالاً با این فعالیت APT تحت حمایت دولت ایران مرتبط است.

FBI ، CISA ، ACSC و NCSC از سازمان های بحرانی زیرساخت می خواهند تا توصیه های ذکر شده در بخش Mitigations این مشاوره را برای کاهش خطر سازش از بازیگران سایبری تحت حمایت دولت ایران اعمال کنند.

برای یک نسخه قابل بارگیری از IOCS ، به AA21-321a. stix مراجعه کنید.

برای کسب اطلاعات بیشتر در مورد فعالیت های مخرب تحت حمایت دولت ایران ، به ایالات متحده-cert. cisa. gov/iran مراجعه کنید.

برای نسخه PDF این گزارش اینجا را کلیک کنید.

جزییات فنی

فعالیت بازیگر تهدید

از حداقل مارس 2021 ، FBI و CISA بازیگران APT تحت حمایت دولت ایران را مشاهده کرده اند که از آسیب پذیری های مایکروسافت و آسیب پذیری های فورتینت استفاده می کنند تا طیف گسترده ای از قربانیان را در بخش های مختلف زیرساخت های مهم در جهت دستیابی به فعالیت های مخرب هدف قرار دهند. فعالیت مشاهده شده شامل موارد زیر است.

• در مارس 2021 ، FBI و CISA این بازیگران APT تحت حمایت دولت ایران را در بندرهای 4443 ، 8443 و 10443 برای آسیب پذیری Fortinet Fortios CVE-2018-13379 و دستگاه های مخرب فورتوس آسیب پذیری های CVE-2020-12812 اسکن کردند. 2019-5591. بازیگران APT تحت حمایت دولت ایران احتمالاً از این آسیب پذیری ها برای دستیابی به شبکه های آسیب پذیر سوء استفاده کردند. توجه: برای گزارش قبلی FBI و CISA در مورد این فعالیت ، به مشاوره مشترک امنیت سایبری مراجعه کنید: بازیگران APT برای دستیابی به دسترسی اولیه برای حملات آینده از آسیب پذیری ها بهره برداری می کنند.
• در ماه مه سال 2021 ، این بازیگران APT تحت حمایت دولت ایران از یک لوازم جانبی FortiGate برای دسترسی به وب سرور میزبان دامنه برای یک دولت شهرداری ایالات متحده سوءاستفاده کردند. بازیگران احتمالاً با نام کاربری الی حساب کاربری ایجاد کرده اند تا فعالیت های مخرب را بیشتر فعال کنند. توجه: برای گزارش قبلی FBI در مورد این فعالیت ، به FBI Flash مراجعه کنید: بازیگران APT که از آسیب پذیری های فورتینت بهره می برند تا دسترسی اولیه برای فعالیت های مخرب را بدست آورند.
• در ژوئن سال 2021 ، این بازیگران مناسب برای دسترسی به شبکه های کنترل محیط زیست مرتبط با یک بیمارستان مستقر در ایالات متحده که متخصص در مراقبت های بهداشتی برای کودکان است ، از یک لوازم جانبی FortiGate استفاده کردند. بازیگران APT تحت حمایت دولت ایران به احتمال زیاد از سرور اختصاص داده شده به آدرس های IP 91. 214. 124 [.] 143 و 162. 55. 137 [.] 20-که قاضی FBI و CISA با فعالیت سایبری دولت ایران در ارتباط هستند-برای فعال کردن فعالیت های مخرب در برابر فعالیت های مخرب در برابر فعالیت های مخرب همراه هستند. شبکه بیمارستان. بازیگران APT از آدرس IP 154. 16. 192 به حسابهای کاربری شناخته شده در بیمارستان دسترسی پیدا کردند.
• از اکتبر سال 2021 ، این بازیگران APT از آسیب پذیری Microsoft Exchange Proxyshell استفاده کرده اند-CVE-2021-34473-برای دستیابی اولیه به سیستم ها قبل از عملیات پیگیری.

ACSC در نظر دارد که این گروه APT همچنین از همان آسیب پذیری تبادل مایکروسافت (CVE-2021-34473) در استرالیا استفاده کرده است.

تاکتیک ها و تکنیک های Miter Att & CK

FBI ، CISA ، ACSC و NCSC تاکتیک ها و تکنیک های زیر را با این فعالیت همراه می کنند.

توسعه منابع [TA0042]

بازیگران APT از ابزارهای مخرب و قانونی زیر [T1588. 001 ، T1588. 002] برای انواع تاکتیک های موجود در طیف شرکت استفاده کرده اند.

• Mimikatz برای سرقت اعتبار [TA0006]
• Winpeas برای افزایش امتیاز [TA0004]
• SharpWMI (ابزار دقیق مدیریت ویندوز)
• Winrar برای بایگانی داده های جمع آوری شده [TA0009 ، T1560. 001]
• FileZilla برای انتقال پرونده ها [TA0010]

دسترسی اولیه [TA0001]

بازیگران APT تحت حمایت دولت ایران با بهره برداری از آسیب پذیری های تأثیرگذار بر سرورهای تبادل مایکروسافت (CVE-2021-34473) و فورتینت (CVE-2018-13379 ، CVE-2020-12812 و CVE-2019-5591) [T1190] [T1190]بشر

اعدام [TA0002]

بازیگران APT تحت حمایت دولت ایران ممکن است تغییراتی در برنامه ریزی وظیفه انجام داده اند [T1053. 005]. این اصلاحات ممکن است به عنوان وظایف یا اقدامات برنامه ریزی شده ناشناخته نشان داده شود. به طور خاص ، کارهای زیر تعیین شده ممکن است با این فعالیت همراه باشد:

• همگام سازی
• مدی
• microsoftoutlookupdater
• Microsoftoutlookupdateschedule

پایداری [TA0003]

بازیگران APT تحت حمایت دولت ایران ممکن است حساب های کاربری جدیدی را در مورد کنترل کننده های دامنه ، سرورها ، ایستگاه های کاری و دایرکتوری های فعال ایجاد کرده اند [T1136. 001 ، T1136. 002]. به نظر می رسد برخی از این حساب ها به نظر می رسد که شبیه به سایر حساب های موجود در شبکه باشد ، بنابراین نام های حساب خاص ممکن است در هر سازمان متفاوت باشد. علاوه بر حسابهای کاربر یا حساب های ناشناخته که برای ماسکراد به عنوان حساب های موجود ایجاد شده اند ، نام کاربری حساب زیر ممکن است با این فعالیت همراه باشد:

• حمایت کردن
• کمک
• الی
• WadgutilityAccount

اگزیلتراسیون [TA0010]

FBI و CISA پروتکل انتقال فایل برون مرزی (FTP) را از پورت 443 مشاهده کردند.

ضربه [TA0040]

بازیگران APT فعال سازی Bitlocker را در شبکه های میزبان مجبور به رمزگذاری داده ها کردند [T1486]. یادداشت های تهدیدآمیز مربوطه یا به قربانی فرستاده می شدند یا به عنوان یک پرونده . txt در شبکه قربانی باقی مانده بودند. یادداشت های باج شامل خواسته های باج و اطلاعات تماس زیر بود.

• sar_addr@protonmail [.] com
• wearehere@secmail [.] pro
• nosterrmann@mail [.] com
• nosterrmann@protonmail [.] com

تشخیص

FBI ، CISA ، ACSC و NCSC توصیه می کنند سازمانهایی که از سرورهای تبادل مایکروسافت و فورتینت استفاده می کنند ، فعالیت مشکوک بالقوه را در شبکه های خود بررسی کنند.

• جستجوی IOC ها. IOC های شناخته شده-bad را جمع آوری کرده و آنها را در آثار باستانی شبکه و میزبان جستجو کنید. توجه: به پیوست A برای IOCS مراجعه کنید.
• برای سازش سرورهای تبادل مایکروسافت (هر دو وصله دار و بدون استفاده) را بررسی کنید.
• تغییرات در پروتکل دسک تاپ از راه دور (RDP) ، فایروال و تنظیمات مدیریت از راه دور ویندوز (WINRM) را بررسی کنید که ممکن است به مهاجمان اجازه دهد دسترسی مداوم را حفظ کنند.
• کنترل کننده های دامنه ، سرورها ، ایستگاه های کاری و دایرکتوری های فعال را برای حساب های کاربری جدید یا ناشناخته بررسی کنید.
• برنامه ریزی وظیفه را برای کارهای برنامه ریزی شده ناشناخته بررسی کنید. علاوه بر این ، وظایف برنامه ریزی شده سیستم تعریف شده یا شناخته شده سیستم عامل را برای "اقدامات" ناشناخته بررسی یا به طور دستی بررسی کنید (به عنوان مثال ، مراحل انجام شده را که هر کار برنامه ریزی شده انجام می شود ، بررسی کنید).
• گزارش های آنتی ویروس را برای نشانه هایی که به طور غیر منتظره خاموش شده اند ، بررسی کنید.
• به دنبال WinRar و Filezilla در مکان های غیر منتظره باشید.

توجه: برای رویکردهای اضافی در مورد کشف فعالیت های مخرب سایبری ، به رویکردهای فنی مشورتی مشترک برای کشف و اصلاح فعالیت های مخرب ، که توسط CISA و مقامات امنیت سایبری استرالیا ، کانادا ، نیوزیلند و انگلستان اشاره شده است ، مراجعه کنید.

کاهش

FBI ، CISA ، ACSC و NCSC از مدافعان شبکه خواستند تا از کاهش زیر استفاده کنند تا خطر سازش را با این تهدید کاهش دهند.

سیستم های پچ و به روزرسانی

• به محض انتشار به روزرسانی ها/تکه ها ، سیستم عامل ها ، نرم افزار و سیستم عامل را به روزرسانی کنید.
• بلافاصله نرم افزار وصله ای که تحت تأثیر آسیب پذیری های شناسایی شده در این مشاوره قرار گرفته است: CVE-2021-34473 ، CVE-2018-13379 ، CVE-2020-12812 و CVE-2019-5591.

لیست ها و لیست های مجاز را ارزیابی و به روز کنید

• به طور مرتب لیست ها و لیست های مجاز را ارزیابی و به روز کنید.
• اگر Fortios توسط سازمان شما استفاده نشده است ، پرونده های اصلی مصنوعات مورد استفاده FortiOS را به لیست بلوک های اجرای سازمان خود اضافه کنید. باید از هرگونه تلاش برای نصب یا اجرای این برنامه و پرونده های مرتبط با آن جلوگیری شود.

سیاست ها و رویه ها و روش های تهیه نسخه پشتیبان و ترمیم را اجرا و اجرا کنید

• به طور مرتب از داده ها ، شکاف هوا و رمز عبور از نسخه های پشتیبان تهیه پشتیبان تهیه کنید.
• اطمینان حاصل کنید که کپی های داده های بحرانی برای اصلاح یا حذف از سیستم که در آن داده ها ساکن است ، قابل دسترسی نیست.
• یک برنامه بازیابی را برای حفظ و حفظ چندین نسخه از داده ها و سرورهای حساس یا اختصاصی در یک مکان جداگانه ، تقسیم شده و امن (به عنوان مثال ، هارد دیسک ، دستگاه ذخیره سازی ، ابر) اجرا کنید.

تقسیم بندی تقسیم شبکه

• تقسیم بندی شبکه را برای محدود کردن حرکت جانبی طرف مقابل اجرا کنید.

حساب های کاربری ایمن

• حسابهای کاربری حسابرسی با امتیازات اداری و پیکربندی کنترل های دسترسی تحت اصول کمترین امتیاز و جدایی وظایف.
• برای نصب نرم افزار به اعتبار مدیر نیاز دارید.

احراز هویت چند عاملی را اجرا کنید

• در صورت امکان از تأیید هویت چند عاملی استفاده کنید ، به ویژه برای ایمیل ، شبکه های خصوصی مجازی (VPN) و حساب هایی که به سیستم های بحرانی دسترسی دارند.

از رمزهای عبور قوی استفاده کنید

• برای داشتن رمزهای عبور قوی و منحصر به فرد ، به همه حساب های دارای رمز عبور نیاز دارید.

RDP و سایر خدمات بالقوه خطرناک را ایمن و نظارت کنید

• اگر از RDP استفاده می کنید ، آن را محدود کنید تا دسترسی به منابع از طریق شبکه های داخلی محدود شود.
• درگاه های دسترسی از راه دور استفاده نشده/RDP را غیرفعال کنید.
• نظارت بر دسترسی از راه دور/RDP را کنترل کنید.

از برنامه های آنتی ویروس استفاده کنید

• نرم افزار آنتی ویروس و ضد بدافزار را به طور مرتب در همه میزبان ها نصب و به روز کنید.

دسترسی از راه دور ایمن

• فقط از شبکه های ایمن استفاده کنید و از استفاده از شبکه های Wi-Fi عمومی خودداری کنید.
• نصب و استفاده از VPN را برای دسترسی از راه دور در نظر بگیرید.

خطر فیشینگ را کاهش دهید

• در نظر بگیرید که یک بنر ایمیل به ایمیل های دریافت شده از خارج از سازمان خود اضافه کنید.
• لینک های لینک را در ایمیل های دریافت شده غیرفعال کنید

منابع

• برای کسب اطلاعات بیشتر در مورد فعالیت های مخرب تحت حمایت دولت ایران ، به ایالات متحده-cert. cisa. gov/iran مراجعه کنید.
• برای اطلاعات و منابع در مورد محافظت در برابر و پاسخ به باج افزار ، به Stopransomware. gov ، یک صفحه وب متمرکز و کل دولت که منابع و هشدارهای باج افزار را ارائه می دهد ، مراجعه کنید.
• مشاوره مشترک مقامات امنیت سایبری استرالیا ، کانادا ، نیوزیلند ، انگلستان و ایالات متحده: رویکردهای فنی برای کشف و اصلاح فعالیت های مخرب راهنمایی های بیشتری را هنگام شکار یا بررسی یک شبکه و اشتباهات مشترک برای جلوگیری از کار در حادثه فراهم می کند.
• CISA طیف وسیعی از خدمات بهداشتی سایبری بدون هزینه را برای کمک به سازمان های بحرانی زیرساخت در ارزیابی ، شناسایی و کاهش قرار گرفتن در معرض تهدیدات از جمله باج افزار ارائه می دهد. با درخواست این خدمات ، سازمان هایی با هر اندازه می توانند راه هایی برای کاهش خطر آنها و کاهش بردارهای حمله پیدا کنند.
• برنامه جوایز عدالت وزارت امور خارجه ایالات متحده (RFJ) تا 10 میلیون دلار برای گزارش فعالیت های مخرب دولت خارجی علیه زیرساخت های حیاتی ایالات متحده جایزه ارائه می کند. برای اطلاعات بیشتر و نحوه گزارش ایمن اطلاعات به وب سایت RFJ مراجعه کنید.
• ACSC می تواند مشاوره و کمک، گزارش دهی، و پشتیبانی پاسخ به حادثه را در cyber. gov. au و از طریق 1300 292 371 (1300 CYBER1) ارائه دهد.

ضمیمه A: شاخص های سازش

آدرس های IP و فایل های اجرایی در زیر فهرست شده اند. برای یک نسخه قابل دانلود از IOC ها، به AA21-321A. stix مراجعه کنید.

• 91. 214. 124[.]143
• 162. 55. 137[.]20
• 154. 16. 192[.]70

فایل های اجرایی

فایل های اجرایی مشاهده شده در این فعالیت در جدول 1 مشخص شده اند.

جدول 1: فایل های اجرایی

مشابه "frpc. exe" موجود در:

مشابه "frps. exe" موجود در:

ضمیمه B: تاکتیک ها و تکنیک های MITER ATT& CK

جدول 2 تاکتیک ها و تکنیک های MITER ATT& CK مشاهده شده در این فعالیت را مشخص می کند.

جدول 2: تاکتیک ها و تکنیک های مشاهده شده

به دست آوردن قابلیت ها: بدافزار [T1588. 001]

به دست آوردن قابلیت ها: ابزار [T1588. 002]

بهره برداری از برنامه عمومی (T1190)

وظیفه/شغل برنامه ریزی شده: کار برنامه ریزی شده [T1053. 005]

ایجاد حساب: حساب محلی [T1136. 001]

بایگانی داده های جمع آوری شده: بایگانی از طریق Utility [T1560. 001]

اطلاعات تماس

برای گزارش فعالیت مشکوک یا مجرمانه مرتبط با اطلاعات موجود در این مشاوره مشترک امنیت سایبری، با دفتر محلی FBI در آدرس https://www. fbi. gov/contact-us/field-offices یا با دیده بان سایبری 24/7 FBI تماس بگیرید (CyWatch) به (855) 292-3937 یا از طریق ایمیل در CyWatch@fbi. gov. در صورت موجود بودن، لطفاً اطلاعات زیر را در مورد حادثه درج کنید: تاریخ، زمان، و محل حادثه. نوع فعالیت؛تعداد افراد مبتلا؛نوع تجهیزات مورد استفاده برای فعالیت؛نام شرکت یا سازمان ارسال کننده؛و نقطه تماس تعیین شدهبرای درخواست منابع پاسخ به حادثه یا کمک فنی مرتبط با این تهدیدات، با CISA به آدرس CISAServiceDesk@cisa. dhs. gov تماس بگیرید. سازمان های استرالیایی می توانند برای گزارش حوادث امنیت سایبری و دسترسی به هشدارها و توصیه ها به cyber. gov. au مراجعه کنند یا با شماره 1300 292 371 (1300 CYBER 1) تماس بگیرند.

تجدید نظرها

17 نوامبر 2021: نسخه اولیه| 19 نوامبر 2021: فایل های STIX اضافه شد