Tájékoztató az iráni kibercsoportok kritikus infrastruktúrát támadó tevékenységéről


2024. október 18. 13:38

Tisztelt Ügyfelünk!

A Nemzetbiztonsági Szakszolgálat Nemzeti Kibervédelmi Intézete tájékoztatót ad ki iráni kibercsoportok destruktív, a kritikus infrastruktúrát célzó támadásaival kapcsolatban, melyek során brute-force módszerrel és egyéb technikákat alkalmazva hajtanak végre támadó műveleteket. A műveletek célpontjai között szerepel többek között az egészségügyi, a kormányzati és az energia szektor. A támadók célja az áldozat hálózat hitelesítő adatainak megszerzése, amelyeket aztán kiberbűnözői fórumokon értékesítenek.  A megvásárolt adatokat a bűnözők további rosszindulatú tevékenységek végrehajtására használhatják fel.

Az iráni csoportok ezirányú tevékenysége 2023 októbere óta megfigyelhető, támadási módszereik közé tartozik az MFA fiókok elleni password spraying, a brute-force támadás és az ún. „push-bombing” technika.

A tájékoztató több ügynökség (FBI, CISA, NSA, CSE, AFP) elemzése alapján készült, tartalmazza a támadó aktorok taktikáit, technikáit és eljárásait (TTP-k), valamint a kompromittáltsági mutatókat (IOC-k). Az információk az FBI-nak az e rosszindulatú tevékenység által érintett szervezetekkel folytatott megbeszéléseiből származnak.

A fent említett ügynökségek azt javasolják, hogy a kritikus infrastruktúrával foglalkozó szervezetek mindenképpen hajtsák végre az itt leírt mitigálási módszereket.

 

Technikai részletek:

A támadók valószínűleg felderítő műveleteket hajtanak végre az áldozatok személyazonosságára vonatkozó információk megszerzése érdekében. A hozzáférés megszerzése után a támadók különböző technikákat alkalmaznak további hitelesítő adatok szerzésére, a jogosultságok kiterjesztésére és a szervezet rendszereiről és hálózatáról szóló információk megszerzésére. A támadás során oldalirányú mozgás is megfigyelhető a feltört rendszerben, mely során további információkat töltenek le.

 

Kezdeti hozzáférés és perzisztencia:

A támadó csoportok érvényes felhasználói és csoportos e-mail fiókokat használnak, amelyeket brute-force támadással, például jelszószórással (password spraying) szereztek meg. Bizonyos esetekben ismeretlen módon szereztek hozzáférést Microsoft 365, Azure és Citrix rendszerekhez. Egyes esetekben, amikor a push értesítésen alapuló MFA (többfaktoros hitelesítés) engedélyezve volt, a támadók MFA kérelmeket küldtek a kérés elfogadását kérő legitim felhasználóknak. Ezt a technikát – a felhasználók bombázása mobiltelefon push értesítésekkel, amíg a felhasználó véletlenül jóvá nem hagyja a kérést, vagy leállítja az értesítéseket – „MFA fáradtságnak” vagy „push bombázásnak” nevezzük. Amint a támadók hozzáférnek egy fiókhoz, általában regisztrálják az eszközt többfaktoros hítelesítéssel, ezzel megvédve hozzáférésüket az adott környezethez.

A támadás során gyakran VPN-szolgáltatásokat használnak tevékenységeik elrejtésére, oldalirányú mozgáshoz pedig Remote Desktop Protocolt (RDP) alkalmaznak.

Detektálás

A brute-force tevékenység detektálásra, az ügynökségek javasolják a rendszer- és alkalmazásbejelentkezések hitelesítési naplóinak átnézését, különös tekintettel a sikertelen bejelentkezési kísérletekre vonatkozóan.

 

A virtuális infrastruktúrával kombinált, kompromittált hitelesítő adatok használatának észleléséhez a szerzői ügynökségek a következő lépéseket javasolják:

  • Gyanús bejelentkezések változó felhasználónevekkel, karakterláncokkal és IP címkombinációkkal, vagy olyan bejelentkezések, amelyeknél az IP címek nem a felhasználó megszokott földrajzi helyéhez igazodnak.
  • Több fiókhoz használt IP cím, kivéve a várható bejelentkezések.
  • Lehetetlen utazás. Ha egy felhasználó több IP címről jelentkezik be, jelentős földrajzi távolsággal. Megjegyzés: Ennek az észlelési lehetőségnek a megvalósítása fals pozitív eredményeket hozhat, ha a felhasználók VPN-t alkalmaznak a hálózatokhoz való csatlakozás előtt.
  • MFA regisztráció ismeretlen helyről vagy eszközökről.
  • Olyan folyamatok és parancssori argumentumok, amelyek hitelesítő adatok dumpolására utalhatnak, különösen az ntds.dit fájl elérésére vagy másolására irányuló kísérleteket egy tartományvezérlőből.
  • Gyanús fiókhasználat a jelszavak visszaállítása vagy a felhasználói fiókokkal kapcsolatos mitigációk alkalmazása után.
  • Szokatlan tevékenységet a jellemzően inaktív fiókokban.
  • Keresse a szokatlan, a normál felhasználói tevékenységhez jellemzően nem kapcsolódó stringeket, amelyek bottevékenységre utalhatnak.

Mitigáció:

Ezek az enyhítések összhangban vannak a CISA által kidolgozott, ágazatközi kiberbiztonsági teljesítménycélokkal (CPG-k), amelyek a Nemzeti Szabványügyi és Technológiai Intézet (NIST) Kiberbiztonsági Keretrendszeréhez igazodnak.

 

  • IT Ügyfélszolgálat jelszókezelésének áttekintése, jelszóvisszaállítás zárolt fiókoknál és közös fiókoknál.
  • Kerülje a gyakori jelszavakat (pl. „Spring2024” vagy „Password123!”).
  • Tiltsa le a felhasználói fiókokat és a szervezeti erőforrásokhoz való hozzáférést a távozó alkalmazottak számára. A fiókok letiltásával minimálisra csökkenthető a rendszer kitettsége, és megszűnnek azok a lehetőségek, amelyeket a szereplők a rendszerbe való bejutáshoz kihasználhatnak. Hasonlóképpen, hozzon létre új felhasználói fiókokat a lehető legközelebb a munkavállaló munkába állásának időpontjához.
  • Az adathalászat ellenálló MFA bevezetése.
  • Folyamatosan vizsgálja felül az MFA beállításokat, hogy biztosítsa az összes aktív, internetre néző protokoll lefedettségét, hogy ne legyenek kihasználható szolgáltatások.
  • Alapvető kiberbiztonsági képzés nyújtása a felhasználóknak, amely olyan fogalmakra terjed ki, mint például:
  • Sikertelen bejelentkezési kísérletek észlelése.
  • A felhasználóknak az általuk nem generált MFA kérelmek elutasítása.
  • Annak biztosítása, hogy az MFA képes fiókokkal rendelkező felhasználók megfelelően állítsák be az MFA-t.
  • A jelszóirányelvek összehangolása a legújabb NIST Digital Identity Guidelines (NIST digitális identitásra vonatkozó iránymutatások) szerint.
  • A minimális jelszóerősség betartása.
  • Az RC4 használatának kikapcsolása a Kerberos hitelesítéshez.

 

A szerzői ügynökségek azt is javasolják, hogy a szoftvergyártók építsék be a tervezési biztonság elveit és taktikáit a szoftverfejlesztési gyakorlatukba, hogy megvédjék ügyfeleiket a kompromittált hitelesítő adatokat használó szereplőkkel szemben, és ezáltal erősítsék ügyfeleik biztonsági helyzetét. A biztonságos tervezéssel kapcsolatos további információkért lásd a CISA Secure by Design weboldalát és közös útmutatóját.

 

IoC-k (Indicators of compromise): A mellékletben.

Letöltés:
  Tajekoztato_10_18_Iran.pdf

Legfrissebb sérülékenységek
CVE-2018-14933 – NUUO NVRmini Devices OS Command Injection sebezhetősége
CVE-2019-11001 – Reolink Multiple IP Cameras OS Command Injection sebezhetősége
CVE-2021-40407 – Reolink RLC-410W IP Camera OS Command Injection sebezhetősége
CVE-2024-20767 – Adobe ColdFusion Improper Access Control sebezhetősége
CVE-2024-55956 – Cleo Multiple Products Unauthenticated File Upload sebezhetősége
CVE-2024-50623 – Cleo Multiple Products Unrestricted File Upload sebezhetősége
CVE-2024-49138 – Windows Common Log File System Driver Elevation of Privilege sebezhetősége
CVE-2024-11639 – Ivanti CSA sérülékenysége
CVE-2024-42449 – Veeam Service Provider Console sérülékenysége
CVE-2024-42448 – Veeam Service Provider Console sérülékenysége
Tovább a sérülékenységekhez »