提防！伊朗網路攻擊威脅著正在進行的全球行動中的關鍵基礎設施

電腦安全年Mura年

翻譯為：

在不斷發展的網路威脅世界中，最令人擔憂的趨勢之一是國家支持的針對關鍵基礎設施的網路攻擊的興起。美國、澳洲和加拿大網路安全和情報機構最近發布的聯合諮詢報告顯示，伊朗網路行為者針對醫療保健、能源、政府和資訊科技等關鍵領域正在進行長達一年的活動。

自 2023 年 10 月以來，伊朗網路攻擊者一直採用暴力攻擊和密碼噴射來滲透組織。這些策略包括系統地猜測密碼和壓倒登入系統，以獲得對使用者帳戶的未經授權的存取。鑑於醫療保健、工程和政府服務等行業的敏感性和重要性，它們是主要目標。

這些攻擊者使用的新興策略是多因素身份驗證 (MFA) 推送轟炸，也稱為 MFA 疲勞。透過向使用者重複發送 MFA 請求，攻擊者希望惹惱或迷惑受害者，使其無意中批准存取。 Tenable 的網路安全專家 Ray Carney 建議使用防網路釣魚的 MFA 或採用數位匹配來實現更安全的身份驗證流程。

這些攻擊的主要目標是竊取憑證和詳細的網路訊息，然後在地下論壇上出售。這為其他網路犯罪分子利用受損系統進行進一步攻擊創造了機會，與國家支持的團體和有組織的網路犯罪之間合作的更廣泛的網路安全格局保持一致。

初次訪問後，伊朗攻擊者通常會對目標系統進行徹底偵察。他們使用「離地生活」(LotL) 工具，利用組織自己的基礎設施來維持不被發現。權限提升漏洞，例如眾所周知的 Zerologon 漏洞 (CVE-2020-1472)，可協助攻擊者更深入地進入系統。

在許多情況下，攻擊者利用遠端桌面協定 (RDP) 和 Cobalt Strike 等工具來建立命令和控制 (C2) 連線。值得注意的是，他們有時會向 MFA 系統註冊自己的設備，使他們能夠長期保持持續訪問而不會引起懷疑。

伊朗網路攻擊者越來越關注破壞 Active Directory，這是許多企業 IT 環境的支柱。 Active Directory 在管理跨網路的使用者驗證和權限方面發揮著至關重要的作用。該系統的妥協允許攻擊者升級權限，使他們能夠存取高度敏感的資訊並控制關鍵系統。

最近全球威脅格局的變化也顯示了民族國家駭客組織與網路犯罪組織之間合作的趨勢。微軟的 2024 年數位防禦報告強調，伊朗國家支持的攻擊者不僅出於地緣政治原因進行行動，也受到經濟利益的動機。透過將部分業務外包給網路犯罪分子，他們在保持低調的同時擴大了影響力。

為了減輕這些風險，目標產業的組織必須採取積極措施：

隨著網路攻擊變得更加複雜並與全球地緣政治目標交織在一起，企業必須保持警惕。伊朗網路行為者長達一年的活動清楚地提醒我們，如果沒有適當的防禦措施，即使是最強大的安全系統也可能受到損害。

要領先這些威脅，需要不斷適應、協作並致力於網路安全最佳實踐。雖然沒有一個系統是堅不可摧的，但知情且做好準備的組織更有可能抵禦日益增長的網路攻擊浪潮。

搜索