Cyberveiligheids- en inlichtingendiensten uit Australië, Canada en de VS hebben gewaarschuwd voor een jaar durende campagne van Iraanse cyberactoren om kritieke infrastructuurorganisaties te infiltreren via brute-force-aanvallen.
“Sinds oktober 2023 hebben Iraanse actoren bruut geweld en wachtwoorden gebruikt om gebruikersaccounts in gevaar te brengen en toegang te verkrijgen tot organisaties in de gezondheidszorg en de volksgezondheid (HPH), de overheid, de informatietechnologie, de techniek en de energiesector”, aldus de agentschappen in een rapport. gezamenlijk advies.
De aanvallen waren gericht op de sectoren gezondheidszorg, overheid, informatietechnologie, techniek en energie, aldus de Australische Federale Politie (AFP), het Australian Cyber Security Centre (ACSC) van het Australian Signals Directorate, de Communications Security Establishment Canada (CSE), de Amerikaanse federale politie. Bureau of Investigation (FBI), de Cybersecurity and Infrastructure Security Agency (CISA) en de National Security Agency (NSA).
Een andere opmerkelijke tactiek buiten brute force en wachtwoord-sprayen betreft het gebruik van multi-factor authenticatie (MFA) prompt bombing om interessante netwerken binnen te dringen.
“Push-bombardementen zijn een tactiek die wordt gebruikt door bedreigingsactoren die een gebruiker overspoelen of bombarderen met MFA-pushmeldingen met als doel de gebruiker te manipuleren om het verzoek onbedoeld of uit ergernis goed te keuren”, zegt Ray Carney, onderzoeksdirecteur bij Tenable. zei in een verklaring.
“Deze tactiek wordt ook wel MFA-moeheid genoemd. Phishing-resistente MFA is het beste mechanisme om push-bombardementen te voorkomen, maar als dat geen optie is, moet nummermatching – waarbij gebruikers een tijdspecifieke code moeten invoeren van een door het bedrijf goedgekeurd identiteitssysteem – is een acceptabele back-up. Veel identiteitssystemen hebben nummermatching als secundaire functie.”
Het uiteindelijke doel van deze aanvallen is waarschijnlijk het verkrijgen van inloggegevens en informatie die het netwerk van het slachtoffer beschrijven, die vervolgens kunnen worden verkocht om toegang tot andere cybercriminelen mogelijk te maken, in navolging van een waarschuwing die eerder door de VS in augustus 2024 werd uitgegeven.
De initiële toegang wordt gevolgd door stappen voor het uitvoeren van uitgebreide verkenningen van de systemen en het netwerk van de entiteit met behulp van Living-off-the-land (LotL)-tools, het escaleren van privileges via CVE-2020-1472 (ook bekend als Zerologon) en zijdelingse verplaatsing via RDP. Er is ook vastgesteld dat de bedreigingsacteur zijn eigen apparaten bij MFA registreert om de persistentie te behouden.
De aanvallen worden in sommige gevallen gekenmerkt door het gebruik van msedge.exe om uitgaande verbindingen tot stand te brengen met de Cobalt Strike command-and-control (C2)-infrastructuur.
“De actoren voerden ontdekkingen uit op de gecompromitteerde netwerken om aanvullende inloggegevens te verkrijgen en andere informatie te identificeren die kan worden gebruikt om extra toegangspunten te verkrijgen”, aldus de agentschappen, eraan toevoegend dat ze “deze informatie op cybercriminele forums verkopen aan actoren die de informatie kunnen gebruiken om extra kwaadaardige activiteiten uitvoeren.”
De waarschuwing komt weken nadat overheidsinstanties uit de Five Eyes-landen richtlijnen hebben gepubliceerd over de gebruikelijke technieken die bedreigingsactoren gebruiken om Active Directory in gevaar te brengen.
“Active Directory is wereldwijd de meest gebruikte authenticatie- en autorisatieoplossing in bedrijfsinformatietechnologie (IT)-netwerken”, aldus de agentschappen. “Kwaadwillige actoren richten zich routinematig op Active Directory als onderdeel van pogingen om bedrijfs-IT-netwerken in gevaar te brengen door privileges te escaleren en zich te richten op de meest vertrouwelijke gebruikersobjecten.”
Het volgt ook op een verschuiving in het dreigingslandschap waarin hackers van nationale staten steeds vaker samenwerken met cybercriminelen, waarbij ze sommige delen van hun activiteiten uitbesteden om hun geopolitieke en financiële motieven te bevorderen, aldus Microsoft.
“Actoren van nationale dreigingen voeren operaties uit voor financieel gewin en roepen de hulp in van cybercriminelen en gewone malware om inlichtingen te verzamelen”, aldus de technologiegigant in zijn Digital Defense Report voor 2024.
“Acteurs van nationale dreigingen voeren operaties uit voor financieel gewin, schakelen cybercriminelen in om inlichtingen over het Oekraïense leger te verzamelen en maken gebruik van dezelfde infostealers, command-and-control-frameworks en andere instrumenten waar de cybercriminele gemeenschap de voorkeur aan geeft.”
