伊朗相关的新手黑客通过 RDP 端口传播 Dharma 勒索软件

Group-IB已发现6月份来自伊朗的新手威胁者进行了出于经济动机的攻击。

攻击者使用Dharma勒索软件和多种公共可用工具来针对俄罗斯，日本，中国和印度的公司。所有受影响的组织的主机都具有面向Internet的RDP和较弱的凭据。黑客通常要求 1-5 BTC之间的赎金。新近发现的黑客组织暗示，多年来一直被认为是由国家资助的APT组织的摇篮的伊朗，现在也接纳了有经济动机的网络犯罪分子。

Group-IB研究人员最近观察到了有关Dharma勒索软件分发活动的增加。至少从2016年起，Dharma（也称为Crysis）就已经按照勒索软件即服务（RaaS）模式进行分发。它的源代码在2020年3月出现在市场上，这使得它可以被更广泛的用户使用。在一家俄罗斯公司的事件响应活动中，Group-IB的DFIR团队确定说波斯语的新手黑客是Dharma发行的幕后推手。尽管确切的受害者人数是未知的，但发现的法医文物仍可确定其战役和工具集的地理位置，这远远不及伊朗大型APT的复杂程度。

据透露，在俄罗斯，日本，中国和印度，运营商扫描了具有面向互联网的RDP且凭据薄弱的主机的IP范围。要做到这一点，他们用称为流行的软件 Masscan -臭名昭著的企业网络访问供应商Fxmsp也使用了同样的技术。一旦识别出易受攻击的主机，攻击者便会部署 NLBrute， **以暴力方式进入系统，并检查网络中其他可访问主机上获得的凭据的有效性。在某些攻击中，他们试图使用对CVE-2017-0213的**利用来提升特权。

有趣的是，威胁参与者可能没有明确的计划来处理受感染的网络。建立RDP连接后，他们将决定要部署哪些工具以横向移动。例如，为了禁用内置的防病毒软件，攻击者使用了 Defender Control *和 *Your Uninstaller。 *后者是从伊朗软件共享网站下载的 - 在Chrome工件中发现了使用波斯语“ *دانلودنرمافزارyoure unistaller ” 的Google搜索查询。当网络中已经存在其他工具时，攻击者会从波斯语电报频道下载其他工具。

为了扫描受感染网络中的可访问主机，威胁执行者使用了 高级端口扫描程序 （另一种公开可用的工具）。网络侦察活动完成后，对手使用收集的信息使用RDP协议在网络上横向移动。攻击者的最终目标是删除并执行Dharma勒索软件的变体：攻击者连接到目标主机，删除Dharma可执行文件，然后手动执行。平均而言，赎金需求在 1-5 BTC之间。

Group-IB的DFIR高级分析师Oleg Skulkin说：“ Dharma源代码已广泛可用，这导致部署它的运营商数量增加 。” “令人惊讶的是，Dharma落入了Iranian script kiddies的手中，他们利用它来获取经济利益，因为伊朗传统上一直是由国家资助的从事间谍活动和破坏活动的攻击者的土地。尽管这些网络犯罪分子使用了非常普遍的战术，技术和程序，但它们已经非常有效。因此，我们认为重要的是，就如何防止它们提供一些建议，并给出有关MITER ATT＆CK映射的完整概述。”

大流行病使许多脆弱的宿主暴露在外，许多员工在家中工作，传播媒介在网络罪犯中越来越流行。因此，应该通过将其更改为任何其他端口来编辑默认RDP端口3389。由于攻击者通常需要多次尝试暴力破解密码并获得对RDP的访问权限，因此通过限制每个用户失败的登录尝试次数来启用帐户锁定策略非常重要。威胁情报解决方案使组织能够通过快速识别被盗数据并跟踪漏洞源来减轻风险和进一步的损害，而专用威胁检测系统则可以发现不需要的入侵，公司网络中的流量异常，以及试图获得对任何数据的未经授权的访问。

关于Group-IB

Group-IB是一家总部位于新加坡的解决方案提供商，旨在检测和预防网络攻击和在线欺诈。该公司还专门从事备受瞩目的网络调查和IP保护服务。IB集团的威胁情报系统已被Gartner，Forrester和IDC评为同类最佳的系统之一，而其威胁检测系统则被公认为网络检测和响应的领导者之一。Group-IB的技术领导是建立在公司的17年的实践经验在全球网络犯罪调查和60 000小时的网络安全事件反应积累的еру最大法医实验室和一个24小时网络incidents-CERT-GIB中心提供一个快速反应。