2019年，大量企業的 VPN 服務器中被指存在重大漏洞。以色列網絡安全公司 ClearSky 不久前發布報告稱，受伊朗政府支持的黑客組織去年把利用剛剛發布的VPN 漏洞當作首要任務，目的滲透全球范圍內的企業并在其中植入后門。

報告指出，伊朗國家黑客針對的企業遍布“IT、電信、油氣、航空、政府和安全行業”。

某些攻擊發生在漏洞公開數小時后

報告指出，伊朗黑客組織同樣復雜，而且和俄羅斯、朝鮮國家黑客組織等一樣足智多謀，這一點和人們一貫的認識是不同的。

ClearSky公司指出，“伊朗 APT 組織已經開發出良好的技術攻擊能力，而且能夠在相對較短的時間內利用 1day 漏洞?！痹摴局赋觯谀承嵗邪l現，VPN 缺陷遭公開數小時后，伊朗國家黑客就利用它們發動攻擊。

報告指出2019年，伊朗黑客組織快速武器化如下多個 VPN 漏洞： Pulse Secure“Connect” VPN (CVE-2019-11510) 、Fortinet FortiOS VPN 漏洞 (CVE-2018-13379) 和 Palo Alto Networks“Global Protect” VPN 漏洞 (CVE-2019-1579)。雖然針對這些系統的攻擊始于漏洞被披露的去年夏天，但攻擊仍在繼續。

另外，隨著其它 VPN 缺陷遭公開，伊朗黑客組織還將這些 exploit 利用到攻擊活動中（即思杰“ADC” VPN 中的漏洞CVE-2019-19781）。

入侵企業目標植入后門

報告指出，這些攻擊的目的是入侵企業網絡，在內部系統中橫向移動并在后續日期植入后門。

第一階段的攻擊（攻陷 VPN）針對的是 VPN，第二階段（橫向移動）涉及全面收集工具和技術，這說明近年來伊朗黑客組織變得高級。例如，它們會濫用長久已知的技術，通過“StickyKeys”訪問性工具在Windows 系統上獲取管理員權限。

它們還利用開源的黑客工具如 JuicyPotato 和 Invoke the Hash，而且使用合法的系統管理員軟件如 Putty、Plink|Ngrok、Serveo 或 FRP。

另外，黑客如果找不到開源工具或本地工具助力，則會開發定制化惡意軟件。報告指出發現了伊朗黑客組織使用的工具，如：

• STSRCheck：自開發數據庫和開放端口映射工具

• POWSSHNET：自開發的用于 RDP-over-SSH 隧道的后門惡意軟件

• Custom VBScripts：用于從命令和控制服務器下載 TXT 文件并將這些文件統一到可移植的可執行文件

• cs.exe 上基于套接字的后門：用于開放硬編碼 IP 地址基于套接字連接的一個 EXE 文件

• Port.exe：掃描 IP 地址預定義端口的工具

多個黑客組織統一行動

報告指出，伊朗國家黑客組織似乎互相協作并統一行動，這種行為模式此前是未曾出現的。之前關于伊朗黑客活動的報告詳細說明了活動的不同集群，通常是單個黑客組織所為。報告重點強調稱，針對全球 VPN 服務器的攻擊似乎至少由三個伊朗黑客組織聯合所為，即 APT33（Elfin、Shamoon）、APT34 (Oilrig) 和APT39 (Chafer)。

數據清洗攻擊

當前，這些攻擊的目的似乎是執行偵察和為實施監控活動植入后門。

然而，報告指出這些受感染企業網絡的所有訪問權限未來也可被武器化，用于部署數據清洗惡意軟件，從而蓄意破壞企業并使其宕機，導致業務受損。這些場景是可能發生的而且也說得通。自2019年9月以來，兩款新型數據清洗惡意軟件（ZeroCleare 和 Dustman）就已遭披露并被指和伊朗黑客組織有關。

另外，報告并不排除伊朗國家黑客組織可能利用了受陷企業訪問權限從而在客戶端實施供應鏈攻擊的可能性。這一理論的支持事實是：本月早些時候，FBI 警告美國私營企業警惕針對軟件供應鏈企業的攻擊，“包括支持全球能源產出、傳輸和分發的工控系統的實體”。工控和能源行業過去一直是伊朗國家黑客組織的傳統攻擊目標。FBI 在這份警告中還說明了攻擊中所部署的惡意軟件和 APT33所使用代碼之間的關聯，強有力地說明了伊朗黑客可能是這些攻擊幕后黑手的可能性。

另外，報告還指出，針對巴林國家石油公司 Bapco 的攻擊也使用了相同的“攻陷 VPN →橫向移動”的技術。ClearSky公司警告稱，攻擊過去數月時間后，最終修復其 VPN 服務器的公司應該掃描內網找到攻陷跡象。

報告中還提出了安全團隊可用于掃描日志和內部系統以發現伊朗黑客組織入侵跡象的受陷指標 (IOCs)。

新型 VPN 缺陷

ClearSky在報告總結部分指出，預計伊朗國家黑客組織將在新型 VPN 缺陷遭公開后尋找利用它們的機會。也就是說預計伊朗國家黑客組織很可能會在未來利用 SonicWall SRA 和 SMA VPN 服務器，因為剛不久前安全研究員曾發布了關于影響這兩款產品的六個漏洞的詳情。

完整報告見：

https://www.clearskysec.com/wp-content/uploads/2020/02/ClearSky-Fox-Kitten-Campaign-v1.pdf

來源：代碼衛士

及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統

【網絡安全監管部門】免費試用

本文來源:

如涉及侵權，請及時與我們聯系，我們會在第一時間刪除或處理侵權內容。
電話：400-869-9193 負責人：張明