Peretas Iran Mengejar Infrastruktur Kritis AS
Security

Peretas Iran Mengejar Infrastruktur Kritis AS

Organisasi yang bertanggung jawab untuk infrastruktur penting di AS berada di garis bidik peretas pemerintah Iran, yang mengeksploitasi kerentanan yang diketahui dalam produk perusahaan dari Microsoft dan Fortinet, pejabat pemerintah dari AS, Inggris, dan Australia memperingatkan pada hari Rabu.

Penasihat bersama yang diterbitkan Rabu mengatakan kelompok peretasan ancaman-persisten tingkat lanjut yang selaras dengan pemerintah Iran mengeksploitasi kerentanan di Microsoft Exchange dan FortiOS Fortinet, yang membentuk dasar untuk penawaran keamanan perusahaan terakhir. Semua kerentanan yang teridentifikasi telah ditambal, tetapi tidak semua orang yang menggunakan produk telah menginstal pembaruan. Anjuran tersebut dirilis oleh FBI, Badan Keamanan Siber dan Infrastruktur AS, Pusat Keamanan Siber Nasional Inggris, dan Pusat Keamanan Siber Australia.

Jangkauan Sasaran yang Luas

“Aktor APT yang disponsori pemerintah Iran secara aktif menargetkan berbagai korban di berbagai sektor infrastruktur penting AS, termasuk Sektor Transportasi dan Sektor Kesehatan dan Kesehatan Masyarakat, serta organisasi Australia,” kata penasihat itu. “FBI, CISA, ACSC, dan NCSC menilai para aktor [that] berfokus pada eksploitasi kerentanan yang diketahui daripada menargetkan sektor tertentu. Aktor APT yang disponsori pemerintah Iran ini dapat memanfaatkan akses ini untuk operasi lanjutan, seperti eksfiltrasi atau enkripsi data, ransomware, dan pemerasan.”

Penasihat itu mengatakan FBI dan CISA telah mengamati kelompok itu mengeksploitasi kerentanan Fortinet setidaknya sejak Maret dan kerentanan Microsoft Exchange setidaknya sejak Oktober untuk mendapatkan akses awal ke sistem. Peretas kemudian memulai operasi lanjutan yang mencakup penyebaran ransomware.

Pada bulan Mei, para penyerang menargetkan kotamadya AS yang tidak disebutkan namanya, di mana mereka kemungkinan membuat akun dengan nama pengguna “elie” untuk menggali lebih jauh ke dalam jaringan yang disusupi. Sebulan kemudian, mereka meretas sebuah rumah sakit berbasis di AS yang mengkhususkan diri dalam perawatan kesehatan untuk anak-anak. Serangan terakhir kemungkinan melibatkan server yang terhubung dengan Iran di 91.214.124[.]143, 162.55.137[.]20, dan 154.16.192[.]70.

Bulan lalu, aktor APT mengeksploitasi kerentanan Microsoft Exchange yang memberi mereka akses awal ke sistem sebelum operasi lanjutan. Pihak berwenang Australia mengatakan mereka juga mengamati kelompok itu memanfaatkan kelemahan Bursa.

Hati-hati dengan Akun Pengguna yang Tidak Dikenal

Peretas mungkin telah membuat akun pengguna baru di pengontrol domain, server, stasiun kerja, dan direktori aktif jaringan yang mereka kompromikan. Beberapa akun tampak meniru akun yang ada, sehingga nama pengguna sering kali berbeda dari organisasi yang ditargetkan dengan organisasi yang ditargetkan. Penasihat tersebut mengatakan personel keamanan jaringan harus mencari akun yang tidak dikenal dengan perhatian khusus pada nama pengguna seperti Dukungan, Bantuan, elie, dan WADGUtilityAccount.

Nasihat itu datang sehari setelah Microsoft melaporkan bahwa kelompok yang berpihak pada Iran yang disebut Fosfor semakin banyak menggunakan ransomware untuk menghasilkan pendapatan atau mengganggu musuh. Kelompok ini menggunakan “serangan brute force agresif” pada target, Microsoft menambahkan.

Awal tahun ini, kata Microsoft, Fosfor memindai jutaan alamat IP untuk mencari sistem FortiOS yang belum menginstal perbaikan keamanan untuk CVE-2018-13379. Cacat ini memungkinkan peretas untuk memanen kredensial teks jelas yang digunakan untuk mengakses server dari jarak jauh. Fosfor akhirnya mengumpulkan kredensial dari lebih dari 900 server Fortinet di AS, Eropa, dan Israel.

Baru-baru ini, Fosfor beralih ke pemindaian Server Exchange lokal yang rentan terhadap CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, dan CVE-2021-27065, kumpulan kelemahan yang menggunakan nama ProxyShell . Microsoft memperbaiki kerentanan pada bulan Maret.

“Ketika mereka mengidentifikasi server yang rentan, Fosfor berusaha untuk mendapatkan kegigihan pada sistem target,” kata Microsoft. “Dalam beberapa kasus, para aktor mengunduh pelari Plink bernama MicrosoftOutLookUpdater.exe. File ini akan menjadi suar secara berkala ke server C2 mereka melalui SSH, memungkinkan aktor untuk mengeluarkan perintah lebih lanjut. Kemudian, para aktor akan mengunduh implan khusus melalui perintah PowerShell yang dikodekan Base64. Implan ini membangun kegigihan pada sistem korban dengan memodifikasi kunci registri startup dan pada akhirnya berfungsi sebagai pemuat untuk mengunduh alat tambahan.”

Mengidentifikasi Target Bernilai Tinggi

Posting blog Microsoft juga mengatakan bahwa, setelah mendapatkan akses terus-menerus, para peretas melakukan triase ratusan korban untuk mengidentifikasi target paling menarik untuk serangan lanjutan. Peretas kemudian membuat akun administrator lokal dengan nama pengguna “bantuan” dan kata sandi “[email protected]” Dalam beberapa kasus, aktor membuang LSASS untuk mendapatkan kredensial untuk digunakan nanti.

Microsoft juga mengatakan bahwa mereka mengamati grup yang menggunakan fitur enkripsi disk penuh BitLocker Microsoft, yang dirancang untuk melindungi data dan mencegah perangkat lunak yang tidak sah berjalan.

Posted By : hk hari ini keluar