【安全资讯】伊朗黑客充当经纪人出售关键基础设施访问权限

概要：

近期，伊朗黑客通过攻击关键基础设施组织，收集凭证和网络数据，并在网络犯罪论坛上出售，以便其他威胁行为者进行网络攻击。美国、加拿大和澳大利亚的政府机构认为，伊朗黑客正作为初始访问经纪人，利用暴力破解技术获取医疗、公共卫生、政府、信息技术、工程和能源等领域的组织访问权限。

主要内容：

根据美国网络安全和基础设施安全局（CISA）发布的联合警报，伊朗黑客自2023年10月以来，使用密码喷洒和多因素认证（MFA）“推送轰炸”等暴力破解技术，成功入侵多个组织的用户账户。攻击者在侦察阶段后，旨在获得对目标网络的持久访问，通常使用暴力破解技术收集更多凭证，提升权限，并了解被攻破系统及网络，从而实现横向移动，识别其他访问和利用点。

在已确认的攻击案例中，黑客利用被攻破用户的MFA开放注册，注册自己的设备以访问环境。此外，他们还利用与公共Active Directory Federation Service（ADFS）相关的自助密码重置工具，重置过期密码的账户，并通过Okta为未启用MFA的账户注册MFA。攻击者通过远程桌面协议（RDP）在网络中移动，有时通过Microsoft Word打开的PowerShell部署必要的二进制文件。

政府机构指出，黑客可能利用开源工具窃取Kerberos票证或检索Active Directory账户，以收集额外凭证。为了提升系统权限，黑客可能通过利用微软的Netlogon特权升级漏洞（CVE-2020-1472）来冒充域控制器。联合警报建议组织审查身份验证日志，寻找有效账户的失败登录记录，并扩展搜索范围，以识别潜在的入侵尝试。