هدف گذاری ایران در بخش فناوری اطلاعات در حال افزایش است

بازیگران تهدید ایرانی حملات خود را علیه شرکت های خدمات فناوری اطلاعات به عنوان راهی برای دسترسی به شبکه های مشتریان خود افزایش می دهند. این فعالیت از این جهت قابل توجه است که هدف قرار دادن اشخاص ثالث پتانسیل بهره برداری از سازمان های حساس تر را با بهره گیری از اعتماد و دسترسی در زنجیره تامین دارد. مایکروسافت چندین عامل تهدید کننده ایرانی را مشاهده کرده است که بخش خدمات فناوری اطلاعات را در حملاتی هدف قرار می دهند که هدف آنها سرقت اعتبارنامه های ورود به شبکه های پایین دستی مشتریان برای فعال کردن حملات بیشتر است. مرکز اطلاعات تهدیدات مایکروسافت (MSTIC) و واحد امنیت دیجیتال (DSU) ارزیابی می‌کنند که این بخشی از یک هدف جاسوسی گسترده‌تر برای به خطر انداختن سازمان‌های مورد علاقه رژیم ایران است.

تا ژوئیه 2021، مایکروسافت سابقه نسبتا کمی از حمله بازیگران ایرانی به اهداف هندی را مشاهده کرده بود. همانطور که هند و سایر کشورها به عنوان مراکز اصلی خدمات فناوری اطلاعات در حال رشد هستند، بازیگران دولت ملی بیشتری زنجیره تامین را دنبال می کنند تا مشتریان بخش دولتی و خصوصی این ارائه دهندگان را در سراسر جهان مطابق با منافع دولت ملی هدف قرار دهند.

تا امروز در سال جاری، مایکروسافت بیش از 1600 اعلان برای بیش از 40 شرکت فناوری اطلاعات در پاسخ به هدف قرار دادن ایران صادر کرده است، در مقایسه با 48 اعلان در سال 2020، که این افزایش قابل توجهی را نسبت به سال‌های گذشته نشان می‌دهد (شکل 1). تمرکز چندین گروه تهدید ایرانی بر بخش فناوری اطلاعات به ویژه در شش ماه گذشته افزایش یافت - تقریباً 10 تا 13 درصد از اعلان‌های ما مربوط به فعالیت تهدید ایران در شش ماه گذشته بود، در حالی که در شش ماه گذشته دو و نیم درصد بود. قبل (شکل 2). بیشتر هدف گذاری ها بر شرکت های خدمات فناوری اطلاعات مستقر در هند و همچنین چندین شرکت مستقر در اسرائیل و امارات متحده عربی متمرکز است. اگرچه از نظر تکنیک با سایر حملات زنجیره تامین اخیر متفاوت است، اما این حملات نمونه دیگری از این است که چگونه بازیگران دولت ملت به طور فزاینده ای زنجیره تامین را به عنوان بردارهای غیرمستقیم برای دستیابی به اهداف خود هدف قرار می دهند.

شکل 1: تعداد اعلان های ارسال شده به خدمات فناوری اطلاعات مرتبط با هدف گذاری بازیگران مستقر در ایران

شکل 2: درصد اعلان های ارسال شده به NSN های خدمات فناوری اطلاعات مربوط به فعالیت های مستقر در ایران

مایکروسافت مانند هر فعالیت بازیگر ایالتی ملت مشاهده شده ، مستقیماً به مشتریانی که هدف قرار گرفته اند یا به خطر افتاده اند ، اطلاع داده است و اطلاعات لازم را برای تأمین حساب های خود در اختیار آنها قرار می دهد. مایکروسافت از Dev-#### نامگذاری ها به عنوان یک نام موقتی که به یک خوشه ناشناخته ، در حال ظهور یا در حال توسعه فعالیت تهدید داده می شود ، استفاده می کند و به MSTIC اجازه می دهد تا آن را به عنوان مجموعه ای از اطلاعات منحصر به فرد ردیابی کند تا اینکه به منشأ یا هویت اعتماد داشته باشیماز بازیگر پشت فعالیت. هنگامی که معیارها را رعایت کرد ، یک Dev به یک بازیگر نامگذاری شده تبدیل می شود.

فعالیت مشاهده شده

در ژوئیه سال 2021 ، گروهی که MSTIC به عنوان DEV-0228 دنبال می کند و به عنوان مستقر در ایران ارزیابی می کند ، یک شرکت فناوری اطلاعات مستقر در اسرائیل را به خطر می اندازد که نرم افزار مدیریت تجارت را ارائه می دهد. براساس ارزیابی MSTIC ، DEV-0228 از دسترسی به شرکت فناوری اطلاعات برای گسترش حملات خود و سازش مشتریان پایین دست در بخش های دفاع ، انرژی و حقوقی در اسرائیل استفاده کرد. در ماه سپتامبر ، ما یک گروه جداگانه ایرانی ، DEV-0056 را شناسایی کردیم و حساب های ایمیل را در یک شرکت ادغام فناوری اطلاعات مبتنی بر بحرین به خطر انداخت که در مورد ادغام فناوری اطلاعات با مشتریان دولت بحرین ، که احتمالاً هدف نهایی DEV-0056 بودند ، کار می کند. Dev-0056 همچنین حساب های مختلفی را در یک سازمان تا حدودی دولتی در خاورمیانه به خطر انداخت که فناوری اطلاعات و ارتباطات را به بخش های دفاعی و حمل و نقل ارائه می دهد ، که هدف مورد علاقه رژیم ایران است. DEV-0056 حداقل تا اکتبر پایداری را در سازمان ادغام IT حفظ کرد.

MSTIC افزایش قابل توجهی در این گروه ها و سایر گروه های ایرانی را هدف قرار داد که شرکت های فناوری اطلاعات مستقر در هند از اواسط ماه اوت آغاز می شوند. از اواسط ماه اوت تا اواخر ماه سپتامبر ، ما 1،788 اعلان های ایالتی ملت (NSN) را در سراسر بازیگران ایرانی به مشتریان شرکت در هند صادر کردیم ، تقریباً 80 ٪ از آنها برای شرکت های فناوری اطلاعات بوده است ، افزایش نمایی از 10 اعلان ما سه سال گذشته در آن صادر کردیمپاسخ به هدف قرار دادن ایرانی قبلی. بازیگران سایبری ایران به ندرت هند را هدف قرار داده اند ، و فقدان موضوعات ژئوپلیتیکی که چنین تغییراتی را برانگیخته است ، نشان می دهد که این هدف برای دسترسی غیرمستقیم به شرکتهای تابعه و مشتریان خارج از هند است.

سرقت اعتبار منجر به سازش پایین دست می شود

DEV-0228 اعتبارنامه های مربوط به شبکه داخلی یک ارائه دهنده فناوری اطلاعات مستقر در اسرائیل را در اوایل ماه ژوئیه ریخته است. طی دو ماه آینده ، این گروه حداقل ده ها سازمان دیگر را به خطر انداختند که چندین مورد از آنها روابط عمومی محکمی با شرکت IT به خطر افتاده دارند. MSTIC ارزیابی می کند که حداقل چهار (4) از این قربانیان با استفاده از اعتبارنامه های خریداری شده و دسترسی از شرکت IT در حملات ژوئیه و آگوست به خطر افتادند. در اینجا دو نمونه از این دست آورده شده است:

• اپراتورهای DEV-0228 در ماه آگوست از طریق حساب کاربری توسط ارائه دهنده فناوری اطلاعات از طریق PAEXEC (نسخه سفارشی از ابزار Windows Sysinternals PSEXEC) شبکه مستقر در یک موسسه حقوقی در اسرائیل را به خطر انداختند.

• اپراتورهای DEV-0228 همچنین با امضای یک حساب ایمیل ارائه شده برای همان ارائه دهنده فناوری اطلاعات در مستاجر دفتر 365 قربانی ، یک شرکت دفاعی در اسرائیل را به خطر انداختند. مهاجمان احتمالاً این اعتبار را از سازش اولیه ارائه دهنده فناوری اطلاعات در ماه ژوئیه به دست آوردند.

کاشت سفارشی برای ایجاد پایداری

اپراتورهای DEV-0228 برای ایجاد پایداری در میزبان قربانی و سپس LSAS از کاشت سفارشی استفاده کردند. ایمپلنت یک Trojan Access Remote Access Trojan (RAT) است که از Dropbox به عنوان کانال فرمان و کنترل (C2) استفاده می کند و به عنوان RuntimeBroker. exe یا svchost. exe پنهان می شود.

اپراتورها ابزارهای خود را در فهرست C: \ Windows \ Tapi روی میزبان های قربانی قرار دادند:

• ج: \ ویندوز \ tapi \ lsa. exe
• ج: \ ویندوز \ tapi \ pa. exe
• ج: \ Windows \ tapi \ pc. exe (procdump)
• ج: \ ویندوز \ tapi \ rar. exe

مایکروسافت همچنان به نظارت بر فعالیت DEV-0228 و DEV-0056 و اجرای محافظت برای مشتریان خود ادامه خواهد داد. تشخیص های فعلی ، تشخیص های پیشرفته و IOC ها در سراسر محصولات امنیتی ما در زیر آمده است.

شاخص های سازش (IOCs)

دفاع توصیه شده

راهنمایی زیر می تواند تکنیک های شرح داده شده در فعالیت تهدید را کاهش دهد:

برای کاهش اعتبار به خطر افتاده.
• برای کاربران Office 365 ، به پشتیبانی تأیید اعتبار چند عاملی مراجعه کنید.
• برای حسابهای ایمیل مصرف کننده و شخصی ، نحوه استفاده از تأیید دو مرحله ای را ببینید.
.
• سرقت اعتبار بلوک از زیر سیستم امنیت محلی ویندوز (lsass. exe)

تشخیص

Microsoft 365 Defender

ضد ویروس

Microsoft Defender Antivirus اجزای تهدید را به عنوان بدافزار زیر تشخیص می دهد:

• Backdoor: msil/shellclient. a
• Backdoor: msil/shellclient. a! dll
• Trojan: MSIL/MIMIKATZ. BA! MTB

تشخیص و پاسخ نقطه پایانی (EDR)

هشدارها با عناوین زیر در مرکز امنیت می تواند فعالیت تهدید در شبکه را نشان دهد:

• فعالیت بازیگر DEV-0228
• فعالیت بازیگر DEV-0056

هشدارهای زیر ممکن است نشانگر فعالیت تهدید مرتبط با این تهدید باشد. با این حال ، این هشدارها می توانند با فعالیت تهدید نامربوط ایجاد شوند ، اما آنها در اینجا برای مرجع ذکر شده اند:

• اتصال مشکوک به سرویس از راه دور
• فعالیت فرمان و کنترل احتمالی
• دسترسی مشکوک به سرویس LSASS
• حافظه معتبر حساس بخوانید



شکل 3: Microsoft 365 Defender Alert نشان دهنده فعالیت دامپینگ اعتبار است

Microsoft 365 Defender هشدارهای مربوط به حوادث تلفیقی را برای کمک به مشتریان در تعیین اطمینان در صورت هشدارهای مشاهده شده با این فعالیت ، در ارتباط با اطمینان به مشتریان در ارتباط دارد. مشتریانی که از پورتال Defender Microsoft 365 استفاده می کنند می توانند در مورد حوادثی که شامل هرگونه تشخیص مربوط به فعالیت شرح داده شده در این وبلاگ است ، مشاهده ، تحقیق و پاسخ دهند.

نمایش داده های شکار پیشرفته

مایکروسافت سنتینل

شاخص های سازش (IOCs) موجود در این پست وبلاگ را می توان توسط مشتریان مایکروسافت سنتینل برای اهداف تشخیص با استفاده از نمایش داده شدگان در زیر استفاده کرد.

فعالیت خط فرمان نوامبر 2021

این پرس و جو شکار به دنبال فعالیت خط فرمان فرآیند مربوط به فعالیت مشاهده شده است. پرس و جو از داده های اضافی از Microsoft Defender برای نقطه پایانی استفاده می کند تا نمره ریسک مرتبط با هر نتیجه را ایجاد کند. میزبان با وقایع با ریسک بالاتر ابتدا باید مورد بررسی قرار گیرد.

Quepath/Hashs Query نوامبر 2021

این پرس و جو شکار به دنبال مسیرهای پرونده/هش های مربوط به فعالیت مشاهده شده است که در این وبلاگ به تفصیل شرح داده شده است.

علاوه بر این نمایش داده ها ، نمایش داده شدگان معادل وجود دارد که از مدل اطلاعات پیشرفته SIEM (ASIM) استفاده می کنند تا به دنبال همان فعالیت باشند.

Microsoft 365 Defender

برای یافتن فعالیت های مخرب مربوط به فعالیت شرح داده شده در این وبلاگ ، مشتریان می توانند نمایش داده های زیر را در Microsoft 365 Defender یا Microsoft Defender برای نقطه پایانی اجرا کنند.

استفاده از Paexec را در محیط خود شناسایی کنید

به دنبال اعدام های فرآیند paexec. exe در محیط خود باشید. پرس و جو.

دستگاه پردازش |جایی که نام پرونده =~"paexec. exe" یا processversioninfooriginalfilename =~"paexec. exe" |جایی که نه (پردازش commandline has_any ("پرونده های برنامه" ، "-Service"))

پرونده های ایجاد شده در فهرست ویندوز \ tapi را شناسایی کنید

به دنبال پرونده های ایجاد شده در فهرست ویندوز \ tapi باشید. پرس و جو.

FivelFileEvents |جایی که پوشه دارای @"c: \ windows \ tapi" است

دستورات مشکوک PowerShell

به دنبال اجرای فرآیند مشکوک PowerShell باشید. پرس و جو اجرا کنید.

دستگاه پردازش |جایی که ProcessCommandline has_any (" /q /c رنگ f7 &" ، "net. we $ () bclient" ، "$ b ، 15 ، $ b. l طول-15") یا (پردازش commandline دارای "frombase64string" و processcommandline has_all ("-است. nop "،" iex "،" (iex "))