微软提醒注意这6个不断演变的伊朗黑客组织

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

微软威胁情报中心 (MSTIC) 在CyberWarCon 2021大会上分享了对多个伊朗威胁组织演变的分析，展现出它们越来越复杂的攻击活动。

自2020年9月起，微软一直在追踪六个伊朗黑客组织，它们部署勒索软件并提取数据，为受害者造成破坏和损失。随着时间的流逝，这六个黑客组织已经能够从事网络间谍活动，使用多平台恶意软件，利用擦除器和勒索软件破坏操作，执行钓鱼和密码喷射攻击，甚至执行复杂的供应链攻击活动。

所有这些组织都部署勒索软件实现其目的，并分批次部署，通常相互之间间隔六到八周的时间。本周，微软观察到这些威胁组织在扫描很多漏洞，包括针对 Fortinet FortiOS SSL VPN以及易受 ProxyShell 漏洞攻击的微软 Exchange 服务器等。预测发现仅通过扫描未修复的 Fortinet VPN 系统，这些威胁组织就在今年获取了超过900个明文凭据。

01

耐心收割凭据

过去一年出现的另外一个趋势是，攻击者在发动社工攻击的耐心和持久性方面升级，显示出复杂威胁组织的端倪。

此前，像 Phosphorus (Charming Kitten) 这样的威胁组织发送的是含有恶意链接和附件的恶意邮件，它的成功率有限，但如今该组织开始走耗时的“面试邀请”路径，而这是朝鲜 Lazarus 黑客组织熟稔由于心的技术。在执行攻击期间，Phosphorus 组织会在面试流程期间诱骗目标点击凭据获取页面。

同样遵循这一攻击方法的还有 “Curium” 组织，微软分析师表示该组织利用的是虚假社交帐户的庞大网络，它常常伪装成引人注意的漂亮女性。黑客联系目标并与之日常聊天获得他们的信任。之后他们在某一天发送看似无害文件的恶意文档，趁机释放隐秘的恶意软件。Hamas 黑客组织也在使用类似攻击技术，它曾创建虚假的约会应用诱骗以色列国防军 (IDF) 安装恶意的手机应用。目前尚不清楚这两起攻击活动之间是否存在关联。

02

暴力攻击获得访问权限

尽管有些威胁组织会利用各种攻击手段，但有些选择通过“暴力”攻击，以激进的方式获得对 Office 365 账户的访问权限。

DEV-0343 就是这样一个威胁组织。上个月，该组织攻击美国国防技术公司并运行大规模的密码喷射攻击。微软报告称 DEV-0343 要比上述威胁组织的行动都要快，通常会在同一天获得对目标账户的访问权限。

同时，研究人员还发现 DEV-0343和 “Europium” 组织有时会同时攻击某些账户，分明是两个组织之间的协调行动。

03

伊朗黑客组织仍在演变

近10年前，微软就一直在追踪伊朗黑客组织的行踪，并且几次成功使这些黑客组织的基础设施下线。尽管如此，Phosphorus 组织设法获得了重大成功，比如去年10月份黑掉高层官员的案例。

微软最近发现的情况是，Phosphorus 组织不仅活得非常好，而且受多种协作组织支持经常改头换面。

推荐阅读

微软称伊朗国家黑客攻击美国国防技术公司

伊朗国家铁路系统遭攻击，最高领导人电话被公布

以色列证实上周末对伊朗核设施发动了网络攻击

以色列再生水库疑遭伊朗黑客攻击

伊朗国家黑客组织 MuddyWater 的新动向

原文链接

https://www.bleepingcomputer.com/news/security/microsoft-warns-of-the-evolution-of-six-iranian-hacking-groups/

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~