美國、英國和澳大利亞警告與伊朗有關的 APT 利用 Fortinet 和 Microsoft Exchange 漏洞
由美國、英國和澳大利亞的政府機構(聯邦調查局、網絡安全和基礎設施安全局 (CISA)、澳大利亞網絡安全中心 (ACSC) 和英國國家網絡安全中心 (NCSC))發布的聯合咨詢報告警告稱,與伊朗有關的威脅行為者正在利用 Fortinet 和 Microsoft Exchange 漏洞攻擊美國和澳大利亞組織的關鍵基礎設施。
自 2021 年 10 月以來,威脅行為者一直在利用Microsoft Exchange ProxyShell漏洞,至少從 2021 年3 月起開始利用Fortinet 漏洞。國家資助的黑客將目標鎖定在美國的交通、醫療保健和公共衛生部門以及澳大利亞的組織中。
該咨詢提供了有關與伊朗有關聯的 APT 組織在襲擊背后的戰術和技術的詳細信息,以及妥協指標 (IOC)。政府機構敦促關鍵基礎設施組織應用本咨詢“緩解措施”部分中列出的建議,以減輕
伊朗政府資助的網絡行為者的危害風險。
2021 年 3 月,與伊朗有關的 APT 組織利用 Fortinet FortiOS 漏洞(例如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812)來訪問目標網絡。
2021 年 5 月,與伊朗有關的威脅行為者利用未打補丁的 Fortinet VPN 中的漏洞破壞了美國當地市政府的網絡。政府專家報告說,威脅行為者可能創建了一個用戶名為“elie”的帳戶,以獲得網絡上的持久性。
2021 年 6 月,伊朗威脅者利用 Fortigate 設備破壞了一家專門從事兒童醫療保健的美國醫院的網絡。
自 2021 年 10 月以來,與伊朗有關的 APT 利用CVE-2021-34473 Microsoft Exchange ProxyShell 漏洞攻擊美國和澳大利亞實體。
一旦獲得對目標網絡的訪問權限,APT 參與者可能會修改任務調度程序以執行惡意負載并在域控制器、活動目錄、服務器和工作站上創建新帳戶以實現持久性。
FBI 和 CISA 觀察到出站文件傳輸協議 (FTP) 通過端口 443 傳輸數據以進行數據泄露
該聯合咨詢也inlcudes邁特ATT&CK戰術和技術,妥協的指標(國際石油公司)和緩解建議。
