이란 연계 해커, 핵심 인프라 조직을 표적으로 삼아
-
미국과 동맹국들은 이란과 연계된 해커들이 1년간 지속된 무차별 대입 공격을 통해 핵심 인프라 조직을 공격하고 있다고 경고했습니다.
미국, 호주, 캐나다의 정보 및 사이버 보안 기관은 이란과 연계된 위협 행위자가 무차별 대입 공격과 패스워드 스프레이 공격을 통해 핵심 인프라 조직에 침투하기 위해 1년 이상 진행된 캠페인을 경고했습니다.
이러한 공격은 2023년 10월 이후로 진행되어 왔으며, 이란과 연계된 위협 행위자들은 사용자 계정을 해킹하고 의료 및 공중 보건(HPH), 정부, 정보 기술, 엔지니어링, 에너지 부문의 조직에 액세스하려고 시도했습니다.
"미국 연방수사국(FBI), 사이버 보안 및 인프라 보안국(CISA), 국가안보국(NSA), 캐나다 통신 보안 설립(CSE), 호주 연방 경찰(AFP), 호주 사이버 보안 센터(ASD의 ACSC)는 이란 사이버 행위자들의 무차별 대입 및 기타 기술을 통한 핵심 인프라 부문(의료 및 공중 보건(HPH), 정부, 정보 기술, 엔지니어링, 에너지 부문 등) 조직 침해에 대해 네트워크 방어자들에게 경고하기 위해 이 공동 사이버 보안 자문을 발표합니다."라고 미국 CISA가 발표한 공동 보고서에서 밝혔습니다. "공격자들은 잠재적으로 자격 증명과 피해자의 네트워크를 설명하는 정보를 얻어 사이버 범죄자에게 액세스를 허용할 수 있습니다."
이란 해커들은 또한 다단계 인증(MFA) 프롬프트 폭격을 이용하여 표적 네트워크에 침투했습니다.
다단계 인증(MFA) 프롬프트 폭격은 위협 행위자가 사용자의 스마트폰이나 컴퓨터와 같은 장치로 반복적으로 MFA 푸시 알림을 보내 사용자가 요청 중 하나를 승인하도록 압박하거나 짜증을 유발하는 공격 기법입니다.
이 시나리오에서 공격자는 일반적으로 피해자의 사용자 이름과 암패스워드를 가지고 있으며, MFA 요청을 트리거하는 로그인 시도를 시작합니다. 피해자가 이러한 요청으로 폭격을 당하면, 실수로 또는 짜증이 나서 하나를 승인하여 공격자가 계정에 액세스할 수 있게 됩니다.
공격자들은 지속적인 액세스를 유지하기 위해 MFA 등록을 수정하고, 네트워크 검색을 수행하고, 침해된 시스템 내에서 액세스를 확장하기 위해 자격 증명을 얻었습니다.
공격자들은 유효한 사용자 및 그룹 이메일 계정을 사용하여 Microsoft 365, Azure 및 Citrix 시스템에 대한 초기 액세스를 얻습니다. 이러한 계정은 종종 무차별 대입 공격을 통해 얻어집니다.
이란의 위협 행위자가 계정에 액세스하면 자신의 장치를 MFA에 등록하여 액세스를 유지합니다. 확인된 사례에서 공격자들은 열린 MFA 등록을 악용하거나 침해된 계정의 암호를 재설정하는 데 암호 재설정 도구를 사용하여 Okta를 통해 MFA를 활성화했습니다. 이들은 종종 가상 사설망(VPN)을 통해 이러한 활동을 수행하여 위치를 마스킹합니다.
이란과 연계된 행위자들은 측면 이동을 위해 원격 데스크톱 프로토콜(RDP)을 사용합니다. 정부 전문가들은 또한 한 경우에 공격자들이 Microsoft Word를 사용하여 PowerShell을 열고 RDP 바이너리 mstsc.exe를 실행하는 것을 관찰했습니다.
이란 행위자들은 또한 적어도 한 경우에 msedge.exe를 사용하여 Cobalt Strike Beacon에 연결하여 명령 및 제어를 수행했습니다. 그들은 지속성을 유지하거나 데이터를 온라인으로 판매하기 위해 원격 액세스 및 조직 인벤토리와 관련된 파일을 유출했습니다.
무차별 대입 활동을 감지하려면 유효한 계정의 반복적인 로그인 실패를 확인하십시오. 공동 보고서에는 가상 인프라와 결합된 손상된 자격 증명 사용을 감지하기 위한 권장 사항이 포함되어 있습니다.
https://securityaffairs.com/169960/apt/iran-linked-actors-a-year-long-campaign.html