Злоумышленники атакуют серверы Pulse Secure, Fortinet и Palo Alto Networks для взлома сетей крупных компаний.
Предположительно спонсируемые правительством Ирана
киберпреступные группировки в ходе своих вредоносных кампаний
эксплуатируют уязвимости в VPN-серверах для создания бэкдоров в
компаниях по всему миру. Согласно отчету специалистов из израильской
компании ClearSky, иранские злоумышленники атакуют предприятия в сфере информационных технологий, телекоммуникаций, нефтегазовой промышленности, авиации, а также госкомпании.
По словам экспертов, «иранские APT-группировки владеют хорошими
техническими возможностями для осуществления атак и способны
использовать так называемые 1-day уязвимости в относительно короткие
периоды времени после их раскрытия». В некоторых случаях преступники
эксплуатировали уязвимости в VPN-сервисах в течение нескольких часов
после публикации информации о них.
В 2019 году иранские
преступники эксплуатировали уязвимости, обнаруженные в серверах Pulse
Secure «Connect» VPN (CVE-2019-11510), Fortinet FortiOS VPN
(CVE-2018-13379) и Palo Alto Networks «Global Protect» VPN
(CVE-2019-1579). Атаки на данные системы начались еще летом прошлого
года и продолжаются в 2020 году. Главными целями злоумышленников
являются проникновение в корпоративные сети, перемещение по внутренним
системам и установка бэкдоров для дальнейшего использования.
Преступники в ходе атак злоупотребляют функцией Sticky Keys, чтобы
получить права администратора на системах под управлением Windows,
используют инструменты JuicyPotato и Invoke the Hash, а также легитимное
ПО для системного администрирования, такое как Putty, Plink, Ngrok,
Serveo или FRP.
В рамках атак преступники используют
следующие инструменты: STSRCheck (для выявления открытых портов),
POWSSHNET (для туннелирования по протоколу RDP через SSH), кастомные
скрипты VBScripts для загрузки TXT-файлов с C&C-сервера и
объединения их в исполняемый файл, Port.exe (инструмент для сканирования
IP-адресов предопределенных портов).
Как предполагают
исследователи, за атаками на VPN-серверы по всему миру стоят по меньшей
мере три иранские группировки — APT33 (Elfin, Shamoon), APT34 (Oilrig) и
APT39 (Chafer).