CISA、FBI和DC3联合发布针对伊朗黑客攻击美国组织的网络安全咨询

点击蓝字关注我们

8月28日，美国网络安全和基础设施安全局 (CISA) 与联邦调查局 (FBI) 和国防部网络犯罪中心 (DC3) 联合发布了一份网络安全咨询 (CSA)。该咨询重点介绍了伊朗威胁行为者最近针对美国多个行业的组织（包括地方政府、国防、金融、教育和医疗保健）以及以色列、阿塞拜疆和阿拉伯联合酋长国等其他国家开展的勒索软件行动。

根据美国联邦调查局、网络安全和基础设施安全局以及国防部网络犯罪中心发布的联合网络安全警告，自2017年以来，这个名为 Pioneer Kitten，又名UNC757 和Rubidium的伊朗黑客组织已经入侵了包括美国学校、金融机构、医疗机构和市政府在内的组织，最近一次是在8月份。咨询警告网络运营商，该组织针对美国实体的网络活动的一个重点是“进一步获取并保持对受害者网络的技术访问权限，以便将来发动勒索软件攻击”。

美国联邦调查局此前曾观察到伊朗威胁行为者在2020年底发起黑客和泄密网络攻击，包括Pay2Key勒索软件活动，该活动针对Windows设备中易受攻击的远程桌面协议连接，以在受害者网络中获得初步立足点。该局表示，该黑客组织还试图“从这些网络窃取敏感信息”，特别是从美国国防部门网络以及以色列、阿塞拜疆和阿联酋的网络窃取敏感信息。

该通报称，Pioneer Kitten 通常通过利用面向互联网的资产上的远程外部服务来访问受害者网络。截至 2024 年 7 月，该组织已观察到扫描托管 Check Point 安全网关的 IP 地址，搜索可能易受 CVE -2024-24919漏洞攻击的设备。还观察到该组织对托管 Palo Alto Networks PAN-OS 和 GlobalProtect VPN 设备的 IP 地址进行大规模扫描。

这份咨询报告发布之际，有关伊朗反间谍活动和定制恶意软件活动的多份新报告也相继出炉，其中包括微软于8月28日发布的一份报告，该报告详细介绍了伊朗政府支持的组织 Peach Sandstorm 在 4 月至 7 月期间如何部署了名为 Tickler 的定制多级后门。该公司将 Peach Sandstorm 的行动与伊朗伊斯兰革命卫队联系起来，并表示在 LinkedIn 上观察到针对高等教育、卫星和国防组织的潜在社会工程攻击。

威胁情报公司Mandiant于本周三也公布了有关疑似与伊朗有关的反间谍行动的新发现，该行动旨在识别可能有兴趣与外国情报机构（尤其是以色列机构）合作的伊朗人。

Mandiant表示，该活动与伊朗政权有关，并和与伊朗有关的威胁行为者 APT42 存在一些重叠，后者涉嫌为伊朗革命卫队情报组织工作。Mandiant 表示，它没有发现该活动与任何美国选举安全风险之间存在联系。该公司表示，疑似反间谍行动早在 2017 年就开始了，至少持续到 2024 年 3 月。

Mandiant 发现，攻击者创建了多个社交媒体账户，在 X（前身为 Twitter）和伊朗流行的 Virasty 等平台上传播虚假招聘网站的链接。

当受害用户访问这些虚假网站时，他们会看到有关人力资源公司的信息，这些公司声称招募伊朗情报和安全机构的员工和官员。这些网站冒充合法公司，使用诸如 Optima HR 或 Kandovan HR 之类的名称，并要求应聘者在相关机构和组织内具有信息和网络职位的相关经验。