美國(guó)東部時(shí)間11月17日上午，美國(guó)、英國(guó)和澳大利亞政府機(jī)構(gòu)聯(lián)合發(fā)布的一份報(bào)告警告說(shuō)，伊朗政府支持的威脅行動(dòng)者正在利用Fortinet和Microsoft Exchange漏洞對(duì)美國(guó)以及澳大利亞的一些組織的關(guān)鍵基礎(chǔ)設(shè)施進(jìn)行攻擊。該聯(lián)合網(wǎng)絡(luò)安全咨詢公告是聯(lián)邦調(diào)查局 （FBI）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局 （CISA）、澳大利亞網(wǎng)絡(luò)安全中心 （ACSC） 和英國(guó)國(guó)家網(wǎng)絡(luò)安全中心 （NCSC） 多國(guó)協(xié)作分析的結(jié)果。

　　至少自2021年3月以來(lái)，已觀察到攻擊組織利用Fortinet漏洞進(jìn)行攻擊，并自2021年10月以來(lái)針對(duì)Microsoft Exchange ProxyShell漏洞進(jìn)行初始突破。

　　聯(lián)邦調(diào)查局（FBI）、網(wǎng)絡(luò)安全和基礎(chǔ)設(shè)施安全局（CISA）、澳大利亞網(wǎng)絡(luò)安全中心（ACSC）、英國(guó)國(guó)家網(wǎng)絡(luò)安全中心（NCSC）的聯(lián)合咨詢報(bào)告稱，攻擊目標(biāo)包括美國(guó)和澳大利亞的運(yùn)輸、醫(yī)療保健和公共衛(wèi)生部門。

　　2021年3月，觀察到伊朗政府資助的APT行為體瞄準(zhǔn)Fortinet FortiOS漏洞，如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812，以獲得訪問(wèn)脆弱網(wǎng)絡(luò)的權(quán)限。

　　在2021年5月，同樣的攻擊者利用了Fortigate設(shè)備中的一個(gè)漏洞，入侵了托管美國(guó)市政府域的web服務(wù)器，并創(chuàng)建了一個(gè)名為elie的帳戶以保持對(duì)資源的訪問(wèn)。

　　2021年6月，伊朗APTs利用Fortigate設(shè)備攻陷了與美國(guó)一家兒童保健醫(yī)院相關(guān)的網(wǎng)絡(luò)。與伊朗政府網(wǎng)絡(luò)活動(dòng)相關(guān)的IP地址被發(fā)現(xiàn)用于其他有針對(duì)性的惡意活動(dòng)。

　　從2021年10月開(kāi)始，與伊朗政府有關(guān)聯(lián)的攻擊組織利用微軟Exchange ProxyShell漏洞CVE-2021-34473，首次突破目標(biāo)的環(huán)境。ACSC認(rèn)為，APT組織在攻擊澳大利亞實(shí)體時(shí)使用了同樣的漏洞。微軟Exchange服務(wù)器中被稱為 ProxyShell的漏洞有4個(gè)，這些漏洞最初被黑客用作零日漏洞。但微軟在 4 月份發(fā)布了針對(duì)這些漏洞的補(bǔ)丁。

　　在初始突破之后，攻擊者可能修改Task Scheduler任務(wù)以執(zhí)行有效負(fù)載，并在域控制器、活動(dòng)目錄、服務(wù)器和工作站上創(chuàng)建新帳戶以實(shí)現(xiàn)持久的潛伏。

　　在攻擊過(guò)程中，攻擊者使用了各種工具來(lái)獲取憑證。如經(jīng)典的Mimikatz、特權(quán)升級(jí)（WinPEAS）、數(shù)據(jù)歸檔（WinRAR）和文件傳輸（FileZilla）。還使用了SharpWMI （Windows Management Instrumentation）。

　　另?yè)?jù)微軟最新的跟蹤研究表明，伊朗網(wǎng)絡(luò)攻擊組織正在轉(zhuǎn)向勒索攻擊 。自2020年9月以來(lái)，每六到八周就會(huì)出現(xiàn)一波勒索軟件攻擊。俄羅斯通常被視為最大的網(wǎng)絡(luò)犯罪勒索軟件威脅的發(fā)源地，但來(lái)自朝鮮和伊朗的國(guó)家支持的攻擊者也對(duì)勒索軟件表現(xiàn)出越來(lái)越大的興趣。據(jù)微軟稱，APT35還針對(duì)未打補(bǔ)丁的本地Exchange服務(wù)器和 Fortinet的FortiOS SSL VPN以部署勒索軟件。其他網(wǎng)絡(luò)安全公司去年檢測(cè)到伊朗國(guó)家支持的黑客使用已知的Microsoft Exchange漏洞在電子郵件服務(wù)器和Thanos勒索軟件上安裝持久性網(wǎng)絡(luò)外殼的勒索軟件有所增加。CrowdStrike的研究表明，伊朗網(wǎng)絡(luò)攻擊組織已經(jīng)意識(shí)到勒索軟件作為一種網(wǎng)絡(luò)攻擊能力的潛力，能夠以較低的成本，對(duì)受害者造成破壞性影響。

　　在聯(lián)合咨詢中，F(xiàn)BI、CISA、ACSC和NCSC敦促各組織立即對(duì)目標(biāo)漏洞應(yīng)用補(bǔ)丁、評(píng)估和更新黑白名單、落實(shí)數(shù)據(jù)備份的策略和過(guò)程、落實(shí)網(wǎng)絡(luò)分區(qū)隔離、強(qiáng)化用戶賬戶管理、落實(shí)雙因素認(rèn)證、強(qiáng)化口令質(zhì)量、加強(qiáng)RDP類遠(yuǎn)程接入訪問(wèn)、升級(jí)反病毒應(yīng)用等。它們還提供了損害指標(biāo)（IoCs），以幫助檢測(cè)潛在的損害，以及一系列緩解建議，以加強(qiáng)網(wǎng)絡(luò)抵御潛在的攻擊。