本月,伊朗威胁行为者一直受到美国政府和安全研究人员的关注,并成为美国政府和安全研究人员关注的焦点,对伊朗的制裁似乎有所加强并随后展开。 威胁活动 来自与伊朗伊斯兰革命卫队 (IRGC) 有关联的高级持续威胁 (APT) 组织。
美国政府周三同时透露 精心设计的黑客计划 由于最近公布的法庭文件,对几名伊朗国民提出了起诉,并就伊朗 APT 活动向美国组织发出警告 利用已知漏洞 — 包括受到广泛攻击的 ProxyShell 和 Log4Shell 缺陷——用于勒索软件攻击的目的。
与此同时,最近的另一项研究显示,伊朗国家支持的威胁行为者被追踪为 APT42 已链接 自 30 年以来,已确认发生了 2015 多起网络间谍攻击,这些攻击针对对伊朗具有战略重要性的个人和组织,目标遍及澳大利亚、欧洲、中东和美国。
这一消息发布之际,美国和伊朗之间的紧张局势因 实施制裁 针对伊斯兰国家最近的 APT 活动,包括针对伊斯兰国家的网络攻击 阿尔巴尼亚政府 XNUMX月,导致政府网站和在线公共服务关闭,并受到广泛批评。
此外,研究人员表示,随着伊朗与中国和俄罗斯更加紧密地结盟,伊朗与西方之间的政治紧张局势加剧,伊朗进行网络威胁活动的政治动机也在增强。风险保护解决方案提供商 Digital Shadows 的高级网络威胁情报分析师 Nicole Hoffman 指出,当面临政敌制裁时,攻击更有可能成为经济驱动的攻击。
持续优势
尽管如此,虽然头条新闻似乎反映了伊朗 APT 近期网络威胁活动的激增,但研究人员表示,最近的攻击和起诉新闻更多地反映了伊朗持续不断的活动,以在全球范围内促进其网络犯罪利益和政治议程。
Mandiant 分析师 Emiel Haeghebaert 在给 Dark Reading 的电子邮件中指出:“媒体对伊朗网络威胁活动的报道增多并不一定与该活动的激增相关。”
Qualys 首席威胁情报分析师奥布里·佩林 (Aubrey Perin) 表示同意:“如果你放眼观察整个民族国家活动,就会发现伊朗并没有放慢他们的努力。” “就像任何有组织的团体一样,他们的坚持是他们成功的关键,无论是长期还是短期。”
尽管如此,伊朗与任何威胁行为者一样,都是机会主义的,目前由于地缘政治和经济挑战(例如乌克兰持续的战争、通货膨胀和其他全球紧张局势)而普遍存在的恐惧和不确定性,肯定会增强他们的 APT 努力,他说。说。
当局注意到了
伊朗 APT 日益增长的信心和胆量并没有被全球当局——包括美国当局——所忽视,他们似乎已经厌倦了该国持续存在的敌对网络活动,至少在过去十年里已经忍受了这些活动。
新泽西州司法部 (DoJ)、美国检察官办公室周三公布的一份起诉书具体披露了 2021 年 2022 月至 XNUMX 年 XNUMX 月期间发生的勒索软件活动,影响了美国多个州的数百名受害者,其中包括伊利诺伊州、密西西比州、新泽西州、宾夕法尼亚州和华盛顿州。
起诉书显示,从 2020 年 XNUMX 月至今,三名伊朗国民——曼苏尔·艾哈迈迪 (Mansour Ahmadi)、艾哈迈德·哈提比·阿格达 (Ahmad Khatibi Aghda) 和阿米尔·侯赛因·尼卡因·拉瓦里 (Amir Hossein Nickaein Ravari)——参与了勒索软件攻击,利用已知漏洞窃取和加密美国数百名受害者的数据,英国、以色列、伊朗等地。
网络安全和基础设施安全局 (CISA)、联邦调查局 (FBI) 和其他机构随后警告称,与 IRGC(负责保护领导层免受内部和外部威胁的伊朗政府机构)相关的行为者一直在利用并可能继续利用 Microsoft和 Fortinet 漏洞 — 包括 Exchange Server 漏洞 代理外壳 - 在 2020 年 2021 月至 XNUMX 年 XNUMX 月期间检测到的活动中。
这些机构据信是按照伊朗 APT 的要求行事,利用这些漏洞获得对美国多个关键基础设施部门的实体以及澳大利亚、加拿大和英国组织的初步访问权限,以实施勒索软件和其他网络犯罪活动。说。
威胁行为者使用两个公司名称来保护他们的恶意活动:Najee Technology Hooshmand Fater LLC,总部位于伊朗卡拉季; 根据起诉书,Afkar System Yazd Company 位于伊朗亚兹德。
APT42 和理解威胁
Digital Shadows 的 Hoffman 表示,如果最近一系列关注伊朗 APT 的头条新闻看起来令人眼花缭乱,那是因为花了多年的分析和调查才确定了这一活动,而当局和研究人员仍在试图弄清楚这一切。
“一旦发现,这些攻击也需要相当长的时间来调查,”她说。 “有很多拼图需要分析和拼凑。”
Mandiant 的研究人员最近整理了一个谜题,揭示了 多年的网络间谍活动 一开始是鱼叉式网络钓鱼,但会导致 Android 手机受到与 IRGC 相关的 APT42 的监控和监视,该组织被认为是另一个伊朗威胁组织的子集, APT35/迷人小猫/磷.
两个团体一起也是 已联繫 研究人员表示,一个名为 UNC2448 的未分类威胁集群被 Microsoft 和 Secureworks 识别为 Phosphorus 子组,利用 BitLocker 进行勒索软件攻击以获取经济利益。
更让情节更加复杂的是,这个小组似乎是由一家使用两个公共别名(Secnerd 和 Lifeweb)的公司运营的,这两个别名与司法部案件中被起诉的伊朗国民经营的公司之一有联系:Najee Technology Hooshmand。
Mandiant 的 Haeghebaert 在电子邮件中指出,尽管各组织吸收了这些披露的影响,但研究人员表示,随着伊朗继续其对敌人施加政治主导的目标,袭击还远未结束,并且可能会多样化。
他告诉《Dark Reading》:“我们评估,从长远来看,伊朗将继续利用其网络能力实现的全方位行动。” “此外,我们认为,如果伊朗在国际舞台上仍然处于孤立状态,并且与该地区邻国和西方的紧张关系继续恶化,那么使用勒索软件、擦除器和其他锁定和泄漏技术的破坏性活动可能会变得越来越普遍。”
