آژانسهای FBI و CISA و USCYBERCOM در یه مشاوره مشترک اعلام کردن که گروه های هکری منتسب به دولت ایران، با استفاده از آسیب پذیری بحرانی در Zoho و Fortinet ، تونستن به یه سازمان مرتبط با هوانوردی در آمریکا نفوذ کنن.
تو این مشاوره اسمی از گروه هکری نیاوردن اما در بیانیه مطبوعاتی USCYBERCOM این هک رو منتسب به ایران دونستن.
CISA اعلام کرده که پاسخ به این رخداد بین فوریه و آوریل بوده و هکرها حداقل از ژانویه ، بعد از هک یه سرور که روش Zoho ManageEngine ServiceDesk Plus و فایروال Fortinet بوده، در شبکه سازمان هوانوردی بودن.
این آژانس ها تایید کردن که هکرها از آسیب پذیری CVE-2022-47966 ، که امکان اجرای کد از راه دور فراهم میکنه، برای دسترسی غیرمجاز به Zoho ManageEngine ServiceDesk Plus استفاده کردن.
CISA با بررسی لاگ های برنامه Zoho ، آی پی مخرب شناخته شده، IP:192.142.226[.]153 ، رو مشاهده کرده، که به عنوان بخشی از فرایند اکسپلویت اولیه مورد استفاده قرار گرفته.
هکرها در ادامه امکان دانلود بدافزار، شمارش شبکه، جمع آوری اطلاعات اعتبارنامه های مدیریتی و حرکات جانبی در شبکه قربانی رو داشتن.
با اکسپلویت CVE-2022-47966 ، مهاجم دسترسی root روی وب سرور داشته و یه اکانت کاربری محلی با نام Azure و امتیاز Administrative ایجاد کرده.
CISA گفته به دلیل محدودیتهایی که سازمان مربوطه براشون گذاشته، نمیتونن تایید کنن که هکرها اطلاعات خاصی رو استخراج، دستکاری یا دسترسی داشتن.
همچنین در گزارش اومده که یه گروه هکری دیگه هم از آسیب پذیری CVE-2022-42475 در FortiOS SSL-VPN که امکان اجرای کد بدون احراز هویت رو فراهم میکنه سوء استفاده کردن.
این رو هم از طریق آی پی های مخرب شناخته شده ای که بین 1 تا 16 فوریه 2023 ، اتصال VPN موفق داشتن، کشف کردن. مهاجم اعتبارنامه های مدیریتی و غیرفعال ، یه پیمانکاری که قبلا استخدام شده بود رو هک و از اونها استفاده کرده. سازمان تایید کرده که با مشاهده فعالیت، کاربر رو غیر فعال کرده.
آنالیزی که روی این بازیگر انجام دادن متوجه شدن که یه رفتار رایجی که توسط این مهاجم انجام میشه ، استفاده از اعتبارنامه های مدیریتی غیر فعال و پاک کردن یسری لاگ از چندین سرور حیاتی در محیط هستش. این باعث میشه تا امکان تشخیص اکسپلویت و استخراج اطلاعات سخت بشه.
CISA نتونسته فعالیتهای زیادی از این بازیگر بدست بیاره ، چون سازمان مربوطه لاگ گیری آی پی NAT رو فعال نکرده بود.
هکرها تونستن ارتباطاتی رو بصورت TLS روی TCP/10443 ایجاد کنن که نشون دهنده تبادل موفقیت آمیز داده از دستگاه فایروال بوده.
آدرس های IP که مهاجم از سرور C2 به دستگاهها متصل میشده :
1 2 3 4 |
144.202.2[.]71 207.246.105[.]240 45.77.121[.]232 47.90.240[.]218 |
مهاجمین از اعتبارنامه های قانونی برای حرکت از دستگاه فایروال به وب سرور استفاده کردن که چندین webshell در مسیرهای زیر قرار دادن :
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 |
c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\resource.aspx c:\inetpub\wwwroot\uninet\css\font-awesome\css\discover.ashx c:\inetpub\wwwroot\uninet\css\font-awesome\css\configlogin.ashx c:\Program Files\Common Files\Microsoft Shared\Web Server Extensions\15\template\layouts\approveinfo.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\infos.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\errorinfo.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\infos.ashx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\error.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\infos.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\info.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\info-1.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\new_list.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\errorinfo.aspx c:\Program Files\Microsoft Office Web Apps\RootWebsite\en-us\lgnbotr.ashx c:\inetpub\passwordchange\0LECPNJYRH.aspx c:\inetpub\passwordchange\9ehj.aspx c:\inetpub\wwwroot\wss\VirtualDirectories\Portal80\_vti_pvt\servicesinfo.ashx c:\inetpub\wwwroot\wss\VirtualDirectories\Portal80\_vti_pvt\services.aspx c:\inetpub\redirectedSites\[REDACTED]\products\uns1fw.aspx c:\inetpub\redirectedSites\[REDACTED]\products\uns1ew.aspx |
آدرسهای IP زیر هم با این وب شل ها مرتبط بودن :
1 2 3 4 5 6 7 8 9 10 |
45.90.123[.]194 154.6.91[.]26 154.6.93[.]22 154.6.93[.]5 154.6.93[.]12 154.6.93[.]32 154.6.93[.]24 184.170.241[.]27 191.96.106[.]40 102.129.145[.]232 |
ابزارهایی که در این حملات توسط مهاجم استفاده شدن :
Mimikatz
Ngrok
ProcDump
Metasploit
Interact.sh
anydesk.exe
quser.exe
xpack.exe
به گفته این سه آژانس، هکرها اینترنت رو برای دستگاههایی که دارای باگ حیاتی و اصلاح نشده هستش، اسکن میکنن. بعد از اینکه موردی رو پیدا کردن اونو هک میکنن و پرسیست روش انجام میدن. در ادامه از این دستگاه برای حرکات جانبی و گسترش نفوذشون استفاده میکنن.
در نهایت در این بیانیه اومده که برای حفظ موارد امنیتی و مواجه نشدن با موارد این چنینی از توصیه های منتشر شده توسط NSA و اقدامات کاهشی این بیانیه مانند موارد زیر استفاده کنن.
- بروزرسانی آسیب پذیری های مرتبط با KEV
- شناسایی فعالیتهای برنامه های دسترسی از راه دور با ابزارهای تشخیص نقاط پایانی
- حذف اکانت ها و گروههای غیرضروری بخصوص مواردی که دارای امتیاز هستن.
منابع