Преступники взламывают VPN-серверы для установки бэкдоров

Злoумышлeнники aтaкуют сeрвeры Pulse Secure, Fortinet и Palo Alto Networks чтобы взлoмa сeтeй крупныx кoмпaний.

Прeдпoлoжитeльнo спoнсируeмыe прaвитeльствoм Ирaнa кибeрпрeступныe группирoвки в xoдe свoиx врeдoнoсныx кaмпaний эксплуaтируют уязвимoсти в VPN-сeрвeрax интересах сoздaния бэкдoрoв в кoмпaнияx пo всeму миру. Сoглaснo отчету специалистов изо израильской компании ClearSky, иранские злоумышленники атакуют предприятия в сфере информационных технологий, телекоммуникаций, нефтегазовой промышленности, авиации, а равным образом госкомпании.

По словам экспертов, «иранские APT-группировки владеют хорошими техническими возможностями на осуществления атак и способны пускать в ход так называемые 1-day уязвимости в по поводу короткие периоды времени позднее их раскрытия». В некоторых случаях преступники эксплуатировали уязвимости в VPN-сервисах в курс нескольких часов после публикации информации о них.

В 2019 году иранские преступники эксплуатировали уязвимости, обнаруженные в серверах Pulse Secure «Connect» VPN (CVE-2019-11510), Fortinet FortiOS VPN (CVE-2018-13379) и Palo Alto Networks «Global Protect» VPN (CVE-2019-1579). Атаки держи данные системы начались всё ещё летом прошлого года и продолжаются в 2020 году. Главными целями злоумышленников являются ингрессия в корпоративные сети, перемещение до внутренним системам и установка бэкдоров к дальнейшего использования.

Преступники в ходе атак злоупотребляют функцией Sticky Keys, для того чтоб получить права администратора бери системах под управлением Windows, используют инструменты JuicyPotato и Invoke the Hash, а и легитимное ПО для системного администрирования, такое (как) будто Putty, Plink, Ngrok, Serveo или — или FRP.

В рамках атак преступники используют следующие инструменты: STSRCheck (пользу кого выявления открытых портов), POWSSHNET (исполнение) туннелирования по протоколу RDP помощью SSH), кастомные скрипты VBScripts ради загрузки TXT-файлов с C&C-сервера и объединения их в исполняемый обложка, Port.exe (инструмент для сканирования IP-адресов предопределенных портов).

На правах предполагают исследователи, за атаками для VPN-серверы по всему миру стоят ровно по меньшей мере три иранские группировки — APT33 (Elfin, Shamoon), APT34 (Oilrig) и APT39 (Chafer).

Галотерм

Комментарии и уведомления в настоящее время закрыты..

Комментарии закрыты.