伊朗威脅行為體活動的發(fā)展趨勢（譯文）
——微軟威脅情報中心在2021年網(wǎng)絡戰(zhàn)爭大會上的演講

微軟威脅情報中心

0 引 言

在過去的一年里，微軟威脅情報中心（Microsoft Threat Intelligence Center，MSTIC）觀察到位于伊朗的惡意網(wǎng)絡行為體所使用的工具、技術和程序正在逐步演變。在2021年網(wǎng)絡戰(zhàn)爭大會（Cyber WarCon 2021）上，MSTIC的分析師們在題為《伊朗的演變：觀察伊朗惡意網(wǎng)絡行為體的變化》的報告中提出了他們對伊朗國家行為體活動的趨勢分析。本文旨在總結該研究的內容及其演示文稿中涵蓋的主題，并展示MSTIC為追蹤這些威脅行為體以保護客戶免受相關威脅所做的持續(xù)努力。

MSTIC始終在追蹤威脅行為體的活動，包括本文中討論的小組，圍繞微軟安全產(chǎn)品和服務開展工作，將檢測功能構建到產(chǎn)品中，以改善對客戶的保護。本文的目的是便于其他人能夠了解伊朗行為體正在使用的最新技術。

與觀察到的國家行為體的活動一樣，微軟已經(jīng)直接通知被鎖定或受到威脅的客戶，為他們提供幫助，保護其賬戶安全所需的信息。在未知、新興或發(fā)展的威脅活動中，微軟使用DEV-#######名稱作為集群的臨時名稱，允許MSTIC將其作為一組獨特的信息進行跟蹤，直到確認活動背后行為體的來源或身份。一旦條件滿足，DEV就會被轉換為指定的行為體。

1 勒索軟件

自2020年9月以來，MSTIC觀察到6個伊朗威脅組織曾部署勒索軟件以實現(xiàn)其戰(zhàn)略目標。這些勒索軟件的部署平均每6～8周以周期性的方式啟動一次（如圖1所示）。

圖1 伊朗威脅行為體勒索軟件攻擊時間表

在一次觀察到的活動中，黑客組織PHOSPHORUS在全球范圍內以Fortinet FortiOS SSL VPN和未修補的本地Exchange服務器為目標，在網(wǎng)絡上部署勒索軟件。數(shù)字認證和事件響 應（Digital Forensics and Incident Response，DFIR）報告最近發(fā)表了一篇描述類似入侵行為的文章，行為體利用內部Exchange服務器中的漏洞，并通過BitLocker驅動器加密工具來危害受害者環(huán)境和加密系統(tǒng)。MSTIC還將此類活動歸因于PHOSPHORUS。PHOSPHORUS通過掃描、利用、評估、籌劃、勒索5個步驟對目標系統(tǒng)進行廣泛的掃描并勒索。

1.1 掃描

2021年初，PHOSPHORUS在互聯(lián)網(wǎng)上掃描了數(shù)百萬個IP，以查找易受CVE-2018-13379漏洞攻擊的Fortinet FortiOS SSL VPN。此漏洞允許攻擊者從易受攻擊的Fortinet VPN設備上的會話文件中收集明文授權證書。2021年到目前為止，攻擊者從美國、歐洲和以色列的900多個Fortinet VPN服務器上收集了授權證書。在2021年下半年，PHOSPHORUS轉向掃描易受ProxyShell漏洞攻擊的未修補的本地Exchange服務 器（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。

1.2 利用

當攻擊者識別出易受攻擊的服務器時，PHOSPHORUS試圖在目標系統(tǒng)上獲得持久性。在某些情況下，攻擊者會下載一個名為Microsoft OutLook Updater.exe的Plink運行程序。該文件將通過SSH定期向他們的C2服務器發(fā)送信標，允許攻擊者發(fā)出進一步的指令。稍后，攻擊者將通過Base64編碼的PowerShell命令下載自定義植入程序。該植入程序通過修改啟動注冊表項在受害系統(tǒng)上建立持久性，并最終充當加載程序以下載其他工具。

1.3 評估

在獲得持久性之后，PHOSPHORUS對數(shù)百名受害者進行了分類，以確定其中哪些適合針對目標采取行動。在選擇受害者時，行為體通過以下命令創(chuàng)建了本地管理員賬戶，用戶名為“help”，密碼為“_AS_@1394”（如圖2所示）。有時，攻擊者會放棄LSASS以獲得稍后用于橫向移動的授權證書。

圖2 創(chuàng)建本地管理員賬戶

1.4 籌劃和勒索

最后，MSTIC觀察到PHOSPHORUS使用BitLocker驅動器加密工具對幾個目標組織的數(shù)據(jù)和勒索受害者進行加密。BitLocker驅動器加密工具是用于合法目的的全卷加密工具。在破壞初始服務器（通過易受攻擊的VPN或Exchange服務器）后，攻擊者橫向移動到受害者網(wǎng)絡上的另一個系統(tǒng)，以獲得對更高價值資源的訪問。從那里，他們部署了一個腳本來加密多個系統(tǒng)上的驅動器。受害者被指示訪問特定的Telegram頁面以支付解密密鑰的費用（如圖3所示）。

圖3 引導受害者訪問特定頁面

2 耐心和堅持

MSTIC觀察到，PHOSPHORUS在瞄準受害者之前，會與受害者建立融洽的社會關系。這些操作可能需要行為體投入大量的時間和資源來完成。這一趨勢表明，PHOSPHORUS會利用魚叉式網(wǎng)絡釣魚電子郵件的方式發(fā)送未經(jīng)請求的鏈接和附件以試圖竊取目標的授權證書。

2.1 PHOSHORUS——耐心和堅持

PHOSPHORUS通過包含跟蹤鏈接的電子郵件向目標個人發(fā)送“訪問請求”，以確認用戶是否已打開該文件。一旦收到目標用戶的響應，PHOSPHORUS就會發(fā)送一個鏈接，指向托管在云服務提供商上的訪問問題的良性列表，繼續(xù)與目標用戶進行多次反復對話，討論問題，最終發(fā)送偽裝成谷歌會議鏈接的會議邀請。

發(fā)送會議邀請后，攻擊者會不斷聯(lián)系目標用戶，要求他們測試谷歌會議鏈接。攻擊者每天多次發(fā)送郵件甚至主動打電話聯(lián)系目標用戶，不斷糾纏、引導他們點擊鏈接。攻擊者非常愿意解決用戶登錄虛假谷歌會議鏈接的任何問題，該鏈接會一直引導至授權證書獲取頁面。

據(jù)MSTIC觀察，PHOSPHORUS在發(fā)送初始誘餌后，在電子郵件中語氣變得咄咄逼人，幾乎要求目標用戶立刻做出回應。

2.2 CURIUM——從長遠來看

CURIUM是另一個伊朗威脅行為體，在針對目標用戶時表現(xiàn)出極大的耐心。與PHOSHORUS通過網(wǎng)絡發(fā)送釣魚電子郵件不同，CURIUM擅長利用虛構的網(wǎng)絡社交媒體賬戶與目標建立信任并傳播惡意軟件。

這些攻擊者主要有以下策略：（1）在社交媒體上偽裝成有魅力的女人；（2）通過社交媒體與目標用戶通過LinkedIn、Facebook等建立聯(lián)系；（3）每天與目標用戶聊天；（4）向目標用戶發(fā)送視頻，讓他們放松警惕；（5）將惡意文件發(fā)送給目標用戶；（6）請求目標用戶打開惡意文件；（7）從已入侵的計算機中提取數(shù)據(jù)。

從最初的建立聯(lián)系到惡意文檔的交付，上述過程可能需要幾個月的時間。隨著時間的推移，攻擊者與目標用戶保持長期聯(lián)系，建立信任關系以達成最后的威脅行動。

通過保持耐心、建立關系并不斷糾纏目標，伊朗威脅行為體在損害目標方面取得了更大的成功。

3 暴力攻擊

2021年，MSTIC觀察到DEV-0343通過持續(xù)的密碼噴灑技術對Office 365用戶進行攻擊。MSTIC評估DEV-0343為可能支持伊朗利益的威脅行為體。MSTIC此前曾在博客上發(fā)布過關于DEV-0343活動的信息。

對Office 365日志的分析表明，DEV-0343正在使用諸如o365spray之類的紅隊工具來進行這些攻擊。

在支持美國、歐盟和以色列政府合作伙伴生產(chǎn)軍用級雷達、無人機技術、衛(wèi)星系統(tǒng)和應急響應通信系統(tǒng)的國防公司中，已觀察到此DEV-0343活動的目標，其進一步的活動是針對地理信息系統(tǒng)（GIS）、空間分析、波斯灣區(qū)域性入境口岸以及幾家專注于中東業(yè)務的海運和貨物運輸公司的客戶。

正如之前在博客中的討論，DEV-0343的活動軌跡與伊朗境內其他黑客組織的行動日程高度一致。DEV-0343組織的活動在周日至周四UTC 04:00:00至16:00:00達到峰值（如圖4、圖5所示）。

圖4 觀察到的DEV-0343工作時間（UTC）

圖5 每天觀察到的DEV-0343攻擊請求

MSTIC觀察到DEV-0343和伊朗其他黑客組織同時將同一用戶作為攻擊目標。例如，黑客組織EUROPIUM試圖在2021年6月12日訪問一個特定賬戶，并最終在2021年6月13日獲得了對該賬戶的訪問權限。MSTIC觀察到DEV-0343在EUROPIUM獲得訪問權限的幾分鐘內同樣瞄準了該賬戶。MSTIC對其重疊現(xiàn)象進行評估表明，在獲取目標信息方面，不同伊朗行為體之間存在協(xié)調關系。

4 結 語

伊朗行為體調整了他們的戰(zhàn)略目標和商業(yè)手段，隨著時間的推移，他們已經(jīng)發(fā)展成為更有能力的威脅行為體，能針對信息化運營、擾亂和破壞、對實際行動的支持等方面進行全方位的行動。

具體而言，伊朗行為體已經(jīng)證明自己愿意并且能夠：（1）部署勒索軟件；（2）部署磁盤徹底刪除工具；（3）部署移動惡意軟件；（4）進行網(wǎng)絡釣魚攻擊；（5）進行密碼噴灑攻擊；（6）進行大規(guī)模利用攻擊；（7）實施供應鏈攻擊；（8）隱藏在合法云服務背后的C2通信。