Küresel siber yetkililer Çarşamba günü yaptığı açıklamada, İranlı siber suçluların birden fazla kritik altyapı sektöründeki kuruluşlara erişim sağlamak için kaba kuvvet kullandığını söyledi. ortak siber güvenlik danışmanlığı.
FBI, Siber Güvenlik Altyapı Güvenlik Ajansı, Ulusal Güvenlik Ajansı ve Kanada ve Avustralya’daki ortak kurumlar, ağ savunucularını İranlı saldırganların Ekim 2023’ten bu yana sağlık, hükümet, BT, mühendislik ve enerji sektörlerindeki kuruluşları hedef aldığı konusunda uyardı.
Bu saldırılar sırasında gözlemlenen kaba kuvvet teknikleri arasında parola püskürtme ve çok faktörlü kimlik doğrulama push bombalaması yer alıyor. Yetkililer, İranlı tehdit aktörlerinin Microsoft 365, Azure ve Citrix sistemlerine ilk erişim için geçerli kullanıcı ve grup e-posta hesaplarına güvenliği ihlal edilmiş erişimi kullandığını söyledi.
Uluslararası ortak tavsiye, FBI ve CISA’nın ortak bir uyarı yayınlamasından bir aydan biraz daha uzun bir süre sonra geldi. İran fidye yazılımı gruplarıyla iş birliği yapıyor ABD ve diğer ülkelerdeki kilit endüstrilere saldırmak.
Yetkililer, danışma belgesinde, tehdit aktörlerinin kalıcı erişim sağlamak için sık sık MFA kayıtlarını değiştirdiğini ve ardından ek kimlik bilgileri çalmak veya diğer potansiyel erişim noktalarını belirlemek için ele geçirilen ağlarda arama yaptığını söyledi.
ABD, Kanada ve Avustralya siber otoriteleri, İranlı aktörlerin bu kimlik bilgilerini ve diğer bilgileri siber suç forumlarında ek kötü amaçlı faaliyetler için sattığını söyledi.
Onaylanan iki saldırıda yetkililer, İranlı tehdit aktörlerinin kendi cihazlarını kaydettirmek için MFA’ya yönelik ele geçirilen bir kullanıcının açık kaydını kullandığını söyledi.
Yetkililer, “Doğrulanan başka bir uzlaşmada, aktörler, süresi dolmuş parolalara sahip hesapları sıfırlamak için halka açık bir Active Directory Federasyon Hizmeti ile ilişkili bir self-servis parola sıfırlama aracı kullandılar ve daha sonra MFA’nın zaten etkin olmadığı, tehlikeye atılmış hesaplar için MFA’yı Okta aracılığıyla kaydettirdiler” dedi. danışma.
Yetkililer, kötü niyetli etkinliğin genellikle yanal hareket için uzak masaüstü protokolünün kullanımıyla eşleştirilmiş bir VPN aracılığıyla gerçekleştirildiğini söyledi.