Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een Microsoft Exchange ProxyShell-zwakte – om voet aan de grond te krijgen binnen netwerken voordat ze lateraal gaan en BitLocker-ransomware en andere narigheid lanceren.

Een gezamenlijk advies dat woensdag door CISA werd gepubliceerd, was bedoeld om de aandacht te vestigen op de voortdurende, kwaadaardige cyberaanval, die is gevolgd door de FBI, de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA), het Australian Cyber ​​Security Center (ACSC) en de Britse autoriteiten. Nationaal Cyber ​​Security Centrum (NCSC). Alle veiligheidsinstanties hebben de aanvallen herleid tot een door de Iraanse regering gesponsorde Advanced Persistent Threat (APT).

Volgens de waarschuwing maakt het Iraanse APT al sinds minstens maart 2021 misbruik van Fortinet-kwetsbaarheden en sinds minstens oktober 2021 van een Microsoft Exchange ProxyShell-kwetsbaarheid. De zwakke punten geven de aanvallers de eerste toegang tot systemen die vervolgens leiden tot vervolgoperaties, waaronder ransomware, data-exfiltratie of -codering en afpersing.

De APT heeft dezelfde kwetsbaarheid in Microsoft Exchange gebruikt in Australië.

CISA-waarschuwing volgt Microsoft-rapport over zes Iraanse dreigingsgroepen

De waarschuwing van CISA kwam op de hielen van een analyse van de evolutie van Iraanse dreigingsactoren die dinsdag door het Threat Intelligence Center (MSTIC) van Microsoft is vrijgegeven.

MSTIC-onderzoekers noemden drie trends die ze hebben zien ontstaan ​​sinds ze in september 2020 begonnen met het volgen van zes steeds geavanceerdere Iraanse APT-groepen:

  • Ze gebruiken steeds vaker ransomware om geld te verzamelen of hun doelen te verstoren.
  • Ze zijn geduldiger en volhardender terwijl ze zich bezighouden met hun doelen.
  • Terwijl Iraanse operators geduldiger en vasthoudender zijn in hun social engineering-campagnes, blijven ze agressieve brute force-aanvallen op hun doelen toepassen.

Ze hebben ransomware-aanvallen in golven zien aankomen, gemiddeld om de zes tot acht weken, zoals weergegeven in de onderstaande tijdlijn.

In overeenstemming met wat CISA woensdag beschreef, heeft MSTIC gezien dat de aan Iran gelieerde Phosphorous-groep – ook bekend als een aantal namen, waaronder Charming Kitten, TA453, APT35, Ajax Security Team, NewsBeef en Newscaster – zich wereldwijd richt op de Exchange- en Fortinet-fouten “met de bedoeling om ransomware op kwetsbare netwerken in te zetten.”

De onderzoekers wezen op een recent blogbericht van het DFIR-rapport waarin een soortgelijke inbraak werd beschreven, waarbij de aanvallers kwetsbaarheden in lokale Exchange Servers uitbuitten om de omgeving van hun doelwitten te compromitteren en systemen te versleutelen via BitLocker-ransomware: activiteit die MSTIC ook toeschreef aan Phosphorous.

Geen specifieke sectoren gericht

De dreigingsactoren die in de waarschuwing van CISA worden behandeld, richten zich niet op specifieke sectoren. In plaats daarvan zijn ze gericht op het uitbuiten van die onweerstaanbare Fortinet- en Exchange-kwetsbaarheden.

De waarschuwing gaf aan dat de APT-actoren “actief gericht zijn op een breed scala aan slachtoffers in meerdere Amerikaanse kritieke infrastructuursectoren, waaronder de transportsector en de gezondheidszorg- en volksgezondheidssector, evenals Australische organisaties.”

Schadelijke activiteit

Sinds maart scannen de Iraanse APT-actoren apparaten op poorten 4443, 8443 en 10443 op de veel uitgebuite, ernstige Fortinet FortiOS-kwetsbaarheid die wordt bijgehouden als CVE-2018-13379 – een pad-traversal-probleem in Fortinet FortiOS, waar het SSL VPN-web portal stelt een niet-geverifieerde aanvaller in staat systeembestanden te downloaden via speciaal vervaardigde HTTP-resourceverzoeken.

Kop 1

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

FBI: FatPipe VPN Zero-Day misbruikt door APT gedurende 6 maanden

Een dreigingsactor maakt misbruik van een zero-day-kwetsbaarheid in FatPipe’s virtual private network (VPN)-apparaten als een manier om bedrijven te hacken en…
Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Exchange, Fortinet-fouten worden uitgebuit door Iraanse APT, waarschuwt CISA

Een door de staat gesteunde Iraanse dreigingsactor maakt gebruik van meerdere CVE’s – waaronder al maanden ernstige Fortinet-kwetsbaarheden en wekenlang een…
6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

6M Sky-routers bijna 1,5 jaar blootgesteld aan aanvallen

Sky, een Britse breedbandprovider, liet de onderbuik van ongeveer 6 miljoen klanten bloot aan aanvallers die hun tanden op afstand in…