Iranian hackers breach critical infrastructure, act as access brokers to sell credentials, data

イランのハッカーは、他の脅威主体からのサイバー攻撃を可能にするために、サイバー犯罪フォーラムで販売できる認証情報やネットワークデータを収集するために、重要なインフラ組織を侵害している。

米国、カナダ、オーストラリアの政府機関は、イランのハッカーが最初のアクセスブローカーとして行動し、医療・公衆衛生(HPH)、政府、情報技術、エンジニアリング、エネルギー分野の組織にアクセスするためにブルートフォース技術を使用していると考えている。

イランのアクセス・ブローカー

アメリカのサイバー防衛局(CISA)が発表した勧告では、イランのハッカーがネットワークを侵害し、追加のアクセスポイントを提供するデータを収集するために使用した最新の活動と方法について説明しています。

この警告は、連邦捜査局(FBI)、CISA、国家安全保障局(NSA)、カナダ通信安全保障機構(CSE)、オーストラリア連邦警察(AFP)、オーストラリア信号総局のオーストラリア・サイバー・セキュリティ・センター(ASD’s ACSC)の共著である。

2023年10月以降、イランの行為者は、パスワードの散布や多要素認証(MFA)の “プッシュボミング “などの総当たり攻撃を使用して、ユーザーアカウントを侵害し、組織へのアクセスを取得している」-サイバーセキュリティに関する共同勧告

偵察段階の後、脅威行為者は、多くの場合ブルートフォース技術を使用して、標的ネットワークへの永続的なアクセスを取得することを目指します。

フォローアップ活動には、より多くの認証情報を収集し、特権をエスカレートさせ、侵入されたシステムやネットワークについて学習することが含まれます。

政府機関は、このような攻撃で使用されるすべての手法を発見したわけではないが、ハッカーが有効なユーザー・アカウントやグループ・アカウントにアクセスするためにパスワード・スプレーを使用するケースがあることを突き止めた。

また、サイバー犯罪者がターゲットの携帯電話にアクセス要求を浴びせ、誤って、あるいは単に通知を止めるために、サインインの試みを承認するまでユーザーを圧倒するMFA疲労(プッシュボミング)も観察された。

勧告によると、イランのハッカーはまた、Microsoft 365、Azure、およびCitrix環境への最初のアクセスを取得するために、まだ特定されていないいくつかの方法を使用した。

アカウントにアクセスすると、脅威者は通常、組織のMFAシステムにデバイスを登録しようとする。

確認された2件の侵害では、脅威行為者は、侵害されたユーザがMFAにオープン登録したことを利用して、環境にアクセスするために脅威行為者自身のデバイスを登録しました。

もう1件の確認された侵害では、行為者は、パブリックに面したActive Directoryフェデレーションサービス(ADFS)に関連するセルフサービスパスワードリセット(SSPR)ツールを使用して、有効期限が切れたパスワードを持つアカウントをリセットし、MFAがすでに有効になっていない侵害されたアカウントに対してOktaを通じてMFAを登録しました。

ネットワーク内の移動はリモート・デスクトップ・プロトコル(RDP)経由で行われ、Microsoft Wordで開いたPowerShellを使って必要なバイナリを展開することもあった。

イランのハッカーがどのようにして追加の認証情報を収集するかは不明だが、このステップは、Kerberosチケットを盗んだり、Active Directoryアカウントを取得するためのオープンソースツールの助けを借りて行われると考えられている。

システム上の特権を昇格させるために、政府機関は、ハッカーが「おそらくMicrosoftのNetlogon(「Zerologon」とも呼ばれる)の特権昇格の脆弱性(CVE-2020-1472)を悪用して」ドメインコントローラーになりすまそうとしたと述べている。

分析された攻撃では、脅威行為者は、ドメインコントローラ、信頼されたドメイン、管理者のリスト、企業管理者、ネットワーク上のコンピュータ、それらの説明、およびオペレーティングシステムに関する詳細を収集するために、システム上で利用可能なツール(土地を離れて生活)に依存していました。

米国政府は8月の別の勧告で、イランを拠点とする脅威行為者(国家の支援を受けていると思われる)が、米国内のさまざまな組織に属するネットワークへの初期アクセス権の取得に関与していることを警告した。

この脅威行為者は、通信チャネル上でBr0k3rという偽名と「xplfinder」というユーザー名を使用していた。彼らは「完全なドメイン制御権限とドメイン管理者認証情報を世界中の多数のネットワークに提供していた」と報告書は指摘している。

民間ではPioneer Kitten、Fox Kitten、UNC757、Parisite、RUBIDIUM、Lemon Sandstormとして知られるBr0k3rは、ランサムウェアの関連会社と協力し、侵害された組織(学校、自治体、金融機関、医療施設など)から身代金の支払いの一部を受け取っていました。

ブルートフォース攻撃の検出

共同勧告では、組織は有効なアカウントでログインに失敗していないか認証ログを確認し、検索対象を複数のアカウントに拡大することを推奨している。

脅威者が仮想インフラ上で侵害された認証情報を利用する場合、組織は、変更されたユーザー名、ユーザーエージェント、またはユーザーの典型的な地理的位置と一致しないIPアドレスを持つ、いわゆる「不可能なログイン」を探す必要がある。

また、複数のアカウントで同じIPを使用したり、ユーザーが移動できないような頻度で異なる場所からIPを使用したりすることも、侵入を試みる可能性のある兆候である。

さらに、各省庁は次のことを推奨している:

  • 予期しない場所や見慣れないデバイスからの MFA 登録を探すこと。
  • クレデンシャル・ダンピングを示すプロセスやプログラム実行コマンドライン引数、特にドメイン・コントローラからntds.ditファイルへのアクセスやコピーの試みを探す。
  • パスワードのリセットやユーザーアカウントの緩和を適用した後、不審な特権アカウントの使用をチェックする。
  • 通常休止しているアカウントの異常な活動の調査
  • ボット活動を示す可能性のある、通常のユーザー活動とは関連しない文字列など、通常とは異なるユーザーエージェント文字列のスキャン

共同勧告はまた、イラン人ハッカーの活動で観察された戦術、技術、手順(TTPs)に対する組織のセキュリティ態勢を改善する一連の緩和策を提供している。

この勧告では、悪意のあるファイルのハッシュ、IPアドレス、攻撃に使用されたデバイスなど、侵害の指標一式が利用可能です。