Zephyrnet-logo

Generatieve data-intelligentie

Cyber ​​Security

Iraanse hackers benutten VPN-fouten voor backdoor-organisaties wereldwijd

Heruitgegeven door Plato
Heruitgegeven door Plato

Datum:

Aantal keer bekeken: 810
Iraanse apt-hackgroepen

Een nieuw rapport, gepubliceerd door cybersecurity-onderzoekers, heeft bewijsmateriaal onthuld van door de Iraanse staat gesponsorde hackers die zich de afgelopen drie jaar op tientallen bedrijven en organisaties in Israël en de rest van de wereld hebben gericht.

Dubbed "Vos Katje”, zou de cyberspionagecampagne gericht zijn geweest op bedrijven uit de IT-, telecommunicatie-, olie- en gas-, luchtvaart-, overheids- en veiligheidssectoren.

“Wij schatten dat de campagne die in dit rapport wordt onthuld een van de meest continue en alomvattende campagnes van Iran is die tot nu toe zijn onthuld”, zei ClearSky onderzoekers gezegd.

“De onthulde campagne werd gebruikt als verkenningsinfrastructuur; het kan echter ook worden gebruikt als platform voor het verspreiden en activeren van destructieve malware zoals ZeroCleare en Dustman.”

Door de activiteiten te koppelen aan de bedreigingsgroepen APT33, APT34 en APT39, stelde het offensief – uitgevoerd met behulp van een mix van open source en zelfontwikkelde tools – de groepen ook in staat gevoelige informatie te stelen en supply chain-aanvallen in te zetten om zich op nog meer organisaties te richten, aldus de onderzoekers. gezegd.

Exploitatie van VPN-fouten om bedrijfsnetwerken in gevaar te brengen

De belangrijkste aanvalsvector die door de Iraanse groepen wordt gebruikt, is de exploitatie van niet-gepatchte VPN-kwetsbaarheden om informatie van doelbedrijven binnen te dringen en te stelen. Tot de prominente VPN-systemen die op deze manier werden uitgebuit, behoorden onder meer Pulse Secure Connect (CVE-2019-11510), Global Protect van Palo Alto Networks (CVE-2019-1579), Fortinet FortiOS (CVE-2018-13379) en Citrix (CVE-2019-19781).

ClearSky merkte op dat de hackgroepen met succes toegang konden verkrijgen tot de kernsystemen van de doelwitten, extra malware konden droppen en zich lateraal over het netwerk konden verspreiden door “kwetsbaarheden van één dag in relatief korte tijd” te exploiteren.

VPN-fouten die bedrijfsnetwerken in gevaar brengen

Nadat ze met succes voet aan de grond hadden gekregen, bleken de gecompromitteerde systemen te communiceren met command-and-control (C2)-servers van de aanvaller om een ​​reeks aangepaste VBScript-bestanden te downloaden die op hun beurt kunnen worden gebruikt om achterdeurtjes te plaatsen.

Bovendien wordt de achterdeurcode zelf in delen gedownload om detectie door antivirussoftware op de geïnfecteerde computers te voorkomen. Het is de taak van een apart gedownload bestand — genaamd “combine.bat” — om deze individuele bestanden aan elkaar te plakken en een uitvoerbaar bestand te maken.

Om deze taken uit te voeren en doorzettingsvermogen te bereiken, maakten de bedreigingsactoren gebruik van tools zoals Sappige Aardappel en Roep de hasj aan om privileges op hoog niveau te verwerven en zich lateraal over het netwerk te verplaatsen. Enkele van de andere tools die door de aanvallers zijn ontwikkeld, zijn onder meer:

  • STSRCheck – Een tool voor het in kaart brengen van databases, servers en open poorten in het beoogde netwerk en deze brute forceren door in te loggen met standaardreferenties.
  • Port.exe – Een hulpmiddel om vooraf gedefinieerde poorten en servers te scannen.

Zodra de aanvallers laterale bewegingsmogelijkheden hebben gekregen, gaan de aanvallers naar de laatste fase: voer de achterdeur uit om het gecompromitteerde systeem te scannen op relevante informatie en exfiltreer de bestanden terug naar de aanvaller door een externe desktopverbinding tot stand te brengen (met behulp van een zelfontwikkelde tool genaamd POWSSHNET ) of het openen van een socket-gebaseerde verbinding met een hardgecodeerd IP-adres.

Iraanse hackers

Bovendien maakten de aanvallers gebruik van web schelpen om te communiceren met de servers in het doel en bestanden rechtstreeks naar een C2-server te uploaden.

Het werk van meerdere Iraanse hackgroepen

Gebaseerd op het gebruik van webshells en overlappingen met de aanvalsinfrastructuur in de campagne, benadrukte het ClearSky-rapport dat de aanvallen op VPN-servers mogelijk verband houden met drie Iraanse groepen: APT33 (“Elfin”), APT34 (“OilRig”) en APT39 (Chafer ).

Bovendien oordeelden de onderzoekers dat de campagne het resultaat is van een “samenwerking tussen de groepen op het gebied van de infrastructuur”, daarbij verwijzend naar overeenkomsten in de instrumenten en werkmethoden tussen de drie groepen.

Vorige maand nog hebben Iraanse staatsgesteunde hackers – genaamd ‘Magnalium” – werden ontdekt terwijl ze wachtwoord-spray-aanvallen uitvoerden, gericht op Amerikaanse elektriciteitsbedrijven en olie- en gasbedrijven.

Gezien het feit dat de aanvallers VPN-fouten binnen 24 uur bewapenen, is het absoluut noodzakelijk dat organisaties beveiligingspatches installeren zodra deze beschikbaar zijn.

Naast het volgen van het principe van least privilege, is het ook vanzelfsprekend dat kritieke systemen continu worden gemonitord en up-to-date worden gehouden. Het implementeren van tweestapsverificatie kan een grote bijdrage leveren aan het minimaliseren van ongeautoriseerde logins.

Bron: http://feedproxy.google.com/~r/TheHackersNews/~3/7XVBn0UzKZ0/iranian-hackers-vpn-vulnerabilities.html

spot_img

Laatste intelligentie

spot_img

Copyright @ 2024 Plato Technologies Inc.