伊朗相關的新手黑客通過 RDP 端口傳播 Dharma 勒索軟件

Group-IB已發現6月份來自伊朗的新手威脅者進行了出于經濟動機的攻擊。

攻擊者使用Dharma勒索軟件和多種公共可用工具來針對俄羅斯，日本，中國和印度的公司。所有受影響的組織的主機都具有面向Internet的RDP和較弱的憑據。黑客通常要求 1-5 BTC之間的贖金。新近發現的黑客組織暗示，多年來一直被認為是由國家資助的APT組織的搖籃的伊朗，現在也接納了有經濟動機的網絡犯罪分子。

Group-IB研究人員最近觀察到了有關Dharma勒索軟件分發活動的增加。至少從2016年起，Dharma（也稱為Crysis）就已經按照勒索軟件即服務（RaaS）模式進行分發。它的源代碼在2020年3月出現在市場上，這使得它可以被更廣泛的用戶使用。在一家俄羅斯公司的事件響應活動中，Group-IB的DFIR團隊確定說波斯語的新手黑客是Dharma發行的幕后推手。盡管確切的受害者人數是未知的，但發現的法醫文物仍可確定其戰役和工具集的地理位置，這遠遠不及伊朗大型APT的復雜程度。

據透露，在俄羅斯，日本，中國和印度，運營商掃描了具有面向互聯網的RDP且憑據薄弱的主機的IP范圍。要做到這一點，他們用稱為流行的軟件 Masscan -臭名昭著的企業網絡訪問供應商Fxmsp也使用了同樣的技術。一旦識別出易受攻擊的主機，攻擊者便會部署 NLBrute， **以暴力方式進入系統，并檢查網絡中其他可訪問主機上獲得的憑據的有效性。在某些攻擊中，他們試圖使用對CVE-2017-0213的**利用來提升特權。

有趣的是，威脅參與者可能沒有明確的計劃來處理受感染的網絡。建立RDP連接后，他們將決定要部署哪些工具以橫向移動。例如，為了禁用內置的防病毒軟件，攻擊者使用了 Defender Control *和 *Your Uninstaller。 *后者是從伊朗軟件共享網站下載的 - 在Chrome工件中發現了使用波斯語“ *??????????????youre unistaller ” 的Google搜索查詢。當網絡中已經存在其他工具時，攻擊者會從波斯語電報頻道下載其他工具。

為了掃描受感染網絡中的可訪問主機，威脅執行者使用了 高級端口掃描程序 （另一種公開可用的工具）。網絡偵察活動完成后，對手使用收集的信息使用RDP協議在網絡上橫向移動。攻擊者的最終目標是刪除并執行Dharma勒索軟件的變體：攻擊者連接到目標主機，刪除Dharma可執行文件，然后手動執行。平均而言，贖金需求在 1-5 BTC之間。

Group-IB的DFIR高級分析師Oleg Skulkin說：“ Dharma源代碼已廣泛可用，這導致部署它的運營商數量增加 。” “令人驚訝的是，Dharma落入了Iranian script kiddies的手中，他們利用它來獲取經濟利益，因為伊朗傳統上一直是由國家資助的從事間諜活動和破壞活動的攻擊者的土地。盡管這些網絡犯罪分子使用了非常普遍的戰術，技術和程序，但它們已經非常有效。因此，我們認為重要的是，就如何防止它們提供一些建議，并給出有關MITER ATT＆CK映射的完整概述。”

大流行病使許多脆弱的宿主暴露在外，許多員工在家中工作，傳播媒介在網絡罪犯中越來越流行。因此，應該通過將其更改為任何其他端口來編輯默認RDP端口3389。由于攻擊者通常需要多次嘗試暴力破解密碼并獲得對RDP的訪問權限，因此通過限制每個用戶失敗的登錄嘗試次數來啟用帳戶鎖定策略非常重要。威脅情報解決方案使組織能夠通過快速識別被盜數據并跟蹤漏洞源來減輕風險和進一步的損害，而專用威脅檢測系統則可以發現不需要的入侵，公司網絡中的流量異常，以及試圖獲得對任何數據的未經授權的訪問。

關于Group-IB

Group-IB是一家總部位于新加坡的解決方案提供商，旨在檢測和預防網絡攻擊和在線欺詐。該公司還專門從事備受矚目的網絡調查和IP保護服務。IB集團的威脅情報系統已被Gartner，Forrester和IDC評為同類最佳的系統之一，而其威脅檢測系統則被公認為網絡檢測和響應的領導者之一。Group-IB的技術領導是建立在公司的17年的實踐經驗在全球網絡犯罪調查和60 000小時的網絡安全事件反應積累的еру最大法醫實驗室和一個24小時網絡incidents-CERT-GIB中心提供一個快速反應。