小心！伊朗网络攻击正在全球蔓延，威胁关键基础设施

在网络威胁不断演变的世界中，最令人担忧的趋势之一是国家支持的网络攻击不断增加，这些攻击针对的是关键基础设施。美国、澳大利亚和加拿大的网络安全和情报机构最近联合发布的警告显示，伊朗网络攻击者正在针对医疗保健、能源、政府和信息技术等关键行业发起长达一年的活动。

伊朗网络攻击背后的手段

自 2023 年 10 月以来，伊朗网络攻击者一直使用暴力攻击和密码喷洒来渗透组织。这些策略包括系统地猜测密码和压倒性登录系统以未经授权访问用户帐户。医疗保健、工程和政府服务等行业是主要目标，因为它们敏感且重要。

这些攻击者使用的一种新兴策略是多因素身份验证 (MFA) 推送轰炸，也称为 MFA 疲劳。通过向用户发送重复的 MFA 请求，攻击者希望骚扰或迷惑受害者，使其无意中批准访问。Tenable 的网络安全专家 Ray Carney 建议使用防网络钓鱼的 MFA 或采用数字匹配来实现更安全的身份验证过程。

这些攻击的主要目的是窃取凭证和详细的网络信息，然后在地下论坛上出售。这为其他网络犯罪分子利用受感染的系统进行进一步攻击创造了机会，这与国家支持的团体和有组织的网络犯罪之间合作的更广泛的网络安全形势相一致。

高级攻击技术

在初步获得访问权限后，伊朗攻击者通常会对目标系统进行彻底侦察。他们使用“Living-off-the-land”（LotL）工具，利用组织自己的基础设施来保持不被发现。特权升级漏洞，例如众所周知的 Zerologon 漏洞 (CVE-2020-1472)，可帮助攻击者更深入地进入系统。

在许多情况下，攻击者利用远程桌面协议 (RDP) 和 Cobalt Strike 等工具建立命令与控制 (C2) 连接。值得注意的是，他们有时会将自己的设备注册到 MFA 系统，这样他们就可以在不引起怀疑的情况下长期保持持续访问。

针对 Active Directory 及其他目标

伊朗网络攻击者越来越关注入侵 Active Directory，这是许多企业 IT 环境的支柱。Active Directory 在管理网络用户身份验证和权限方面发挥着至关重要的作用。入侵该系统可让攻击者提升权限，从而访问高度敏感的信息并控制关键系统。

全球威胁形势的近期变化也表明，国家黑客组织与网络犯罪组织之间存在合作趋势。微软的《2024 年数字防御报告》强调，伊朗国家支持的攻击者不仅出于地缘政治原因开展行动，还受到经济利益的驱使。通过将部分行动外包给网络犯罪分子，他们可以扩大影响范围，同时保持低调。

组织可以做什么

为了减轻这些风险，目标行业的组织必须采取主动措施：

• 尽可能实施防网络钓鱼的 MFA。如果不可行，请使用数字匹配作为辅助身份验证选项。
• 定期审核和修补漏洞，特别是 Active Directory 和其他关键系统中的漏洞。
• 培训员工识别 MFA 疲劳的迹象并鼓励他们报告可疑的登录尝试。
• 监控网络流量中是否存在异常活动，尤其是到已知 C2 基础设施的出站连接。
• 与政府机构和行业同行合作，随时了解最新威胁和最佳防御实践。

未来之路

随着网络攻击越来越复杂，与全球地缘政治目标交织在一起，企业必须保持警惕。伊朗网络攻击者长达一年的攻击活动清楚地提醒我们，如果没有适当的防御措施，即使是最强大的安全系统也可能受到攻击。

要想领先于这些威胁，就需要不断适应、协作，并致力于网络安全最佳实践。虽然没有哪个系统是坚不可摧的，但信息灵通、准备充分的组织更有可能抵御日益增多的网络攻击浪潮。