We wspólnym komunikacie agencje ds. cyberbezpieczeństwa i wywiadu z Australii, Kanady i Stanów Zjednoczonych zaalarmowały o uporczywej kampanii cybernetycznej prowadzonej przez irańskie podmioty. Trwająca już dłuższy czas kampania, która rozpoczęła się w październiku 2023 r., jest skierowana w szczególności do sektorów infrastruktury krytycznej, takich jak opieka zdrowotna, administracja rządowa, IT, inżynieria i energetyka. Wykorzystując brutalne ataki i inne wyrafinowane metody, dąży się do infiltracji organizacji i złamania zabezpieczeń ich systemów. Poniżej znajdują się kluczowe spostrzeżenia z poradnika na temat tego, jak te operacje się rozwijają i jakie taktyki są stosowane:
Kluczowe punkty:
Całoroczna kampania cybernetyczna prowadzona przez irańskich aktorów od października 2023 r.
Sektory infrastruktury krytycznej będące celem ataków: Opieka zdrowotna, rząd, IT, inżynieria i energetyka.
Ataki siłowe i metody rozpylania haseł wykorzystywane do naruszania kont użytkowników.
Wykorzystanie bombardowania monitami MFA w celu przytłoczenia użytkowników i uzyskania nieautoryzowanego dostępu.
Sprzedaż danych uwierzytelniających i informacji sieciowych na forach cyberprzestępczych w celu ich dalszego wykorzystania.
Zaawansowane taktyki obejmują eskalację uprawnień poprzez Zerologon (CVE-2020-1472) i ruch boczny przy użyciu RDP.
Współpraca między podmiotami państwowymi i cyberprzestępcami w celu osiągnięcia celów finansowych i geopolitycznych.
Aby uzyskać więcej informacji, zapoznaj się z poniższą analizą Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury
Iranian Cyber Threat: Year-long Brute Force Campaign Targeting Critical Infrastructure
In a joint advisory, cybersecurity and intelligence agencies from Australia, Canada, and the U.S. have raised alarms about a persistent cyber campaign orchestrated by Iranian actors. This year-long campaign, which began in October 2023, specifically targets critical infrastructure sectors such as healthcare, government, IT, engineering, and energy. Using bruteforce attacks and other sophisticated methods, these actors aim to infiltrate organizations and compromise their systems. Below are key insights from the advisory on how these operations unfold and what tactics are being employed:
Key Points:
Year-long cyber campaign launched by Iranian actors since October 2023.
Critical infrastructure sectors targeted: Healthcare, government, IT, engineering, and energy.
Brute-force attacks and password spraying methods used to compromise user accounts.
Use of MFA prompt bombing to overwhelm users and gain unauthorized access.
Selling credentials and network information on cybercriminal forums for further exploitation.
Advanced tactics include privilege escalation via Zerologon (CVE-2020-1472) and lateral movement using RDP.
Collaboration between nation-state actors and cybercriminals to achieve financial and geopolitical goals.
For more details, look at the Cybersecurity and Infrastructure Security Agency analysis below.
Autor: Sebastian Burgemejster
コメント