美国、英国和澳大利亚警告与伊朗有关的 APT 利用 Fortinet 和 Microsoft Exchange 漏洞
由美国、英国和澳大利亚的政府机构(联邦调查局、网络安全和基础设施安全局 (CISA)、澳大利亚网络安全中心 (ACSC) 和英国国家网络安全中心 (NCSC))发布的联合咨询报告警告称,与伊朗有关的威胁行为者正在利用 Fortinet 和 Microsoft Exchange 漏洞攻击美国和澳大利亚组织的关键基础设施。
自 2021 年 10 月以来,威胁行为者一直在利用Microsoft Exchange ProxyShell漏洞,至少从 2021 年3 月起开始利用Fortinet 漏洞。国家资助的黑客将目标锁定在美国的交通、医疗保健和公共卫生部门以及澳大利亚的组织中。
该咨询提供了有关与伊朗有关联的 APT 组织在袭击背后的战术和技术的详细信息,以及妥协指标 (IOC)。政府机构敦促关键基础设施组织应用本咨询“缓解措施”部分中列出的建议,以减轻
伊朗政府资助的网络行为者的危害风险。
2021 年 3 月,与伊朗有关的 APT 组织利用 Fortinet FortiOS 漏洞(例如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812)来访问目标网络。
2021 年 5 月,与伊朗有关的威胁行为者利用未打补丁的 Fortinet VPN 中的漏洞破坏了美国当地市政府的网络。政府专家报告说,威胁行为者可能创建了一个用户名为“elie”的帐户,以获得网络上的持久性。
2021 年 6 月,伊朗威胁者利用 Fortigate 设备破坏了一家专门从事儿童医疗保健的美国医院的网络。
自 2021 年 10 月以来,与伊朗有关的 APT 利用CVE-2021-34473 Microsoft Exchange ProxyShell 漏洞攻击美国和澳大利亚实体。
一旦获得对目标网络的访问权限,APT 参与者可能会修改任务调度程序以执行恶意负载并在域控制器、活动目录、服务器和工作站上创建新帐户以实现持久性。
FBI 和 CISA 观察到出站文件传输协议 (FTP) 通过端口 443 传输数据以进行数据泄露
该联合咨询也inlcudes迈特ATT&CK战术和技术,妥协的指标(国际石油公司)和缓解建议。
