与伊朗有联系的一群“脚本小子”正在利用面向互联网的远程桌面协议(RDP)端口和凭据薄弱的公司来攻击全球公司,以利用Dharma勒索软件感染它们。该达摩恶意软件 (也称为孤岛)已被分发为自至少2016年一个勒索作为一种服务(RAAS)模型虽然勒索先前由高级长期威胁使用(APT)的行动者,它的源代码中浮现2020年3月,使其可供更广泛的攻击者使用。最新的与伊朗有关的威胁组织就是这种情况,研究人员说,这种威胁并不老练,自6月份以来就一直在利用该勒索软件攻击俄罗斯,日本,中国和印度的公司。Group-IB的高级数字取证专家Oleg Skulkin 在对周一发布的攻击的分析中说:“ Dharma源代码已被广泛使用,这导致部署它的运营商数量增加。” “令人惊讶的是,佛法落入了利用其牟取金钱的伊朗剧本小子之手,因为伊朗传统上一直是由国家资助的从事间谍活动和破坏活动的攻击者的土地。尽管这些网络罪犯使用了非常通用的战术,技术和程序,但它们已经非常有效。”IB-Group资深DFIR分析师Oleg Skulkin告诉Threatpost,这些威胁行为者并不复杂,因为他们使用公开可用的工具来获取初始访问权限并横向移动-而不是使用自定义恶意软件或后开发框架。Skulkin告诉Threatpost说:“威胁者使用波斯语在受感染的服务器上进行Google搜索,并从与伊朗有联系的电报组织下载工具。” “此外,IB组专家还看到了威胁行为者企图在伊朗视频流服务上强行使用帐户的行为。”
此活动中的攻击者首先将扫描包含这些易受攻击的RDP端口和凭据薄弱的主机的IP范围。他们使用称为Masscan的扫描软件(以前已被Fxmsp等不良行为者利用)进行扫描。一旦识别出易受攻击的主机,攻击者就会部署一个著名的RDP暴力应用程序NLBrute,该应用程序已在论坛上出售了多年。使用此工具,他们可以蛮力进入系统,然后在网络中的其他可访问主机上检查所获取凭据的有效性。在某些攻击中,攻击者还尝试使用针对提升特权漏洞的利用来提升特权。攻击者运行经特殊设计的应用程序时,可以利用此中等严重性漏洞(CVE-2017-0213)影响Windows系统。在入侵后,“有趣的是,威胁参与者可能没有针对受感染网络的处理方法的明确计划。”这表明他们缺乏复杂性。在不同的攻击中,攻击者将下载各种公开可用的工具来执行侦察或在网络上横向移动。例如,要扫描受感染网络中的可访问主机,它们使用了公共可用的工具“高级端口扫描程序”。研究人员说,攻击者从波斯语电报频道下载了其他工具。“例如,为了禁用内置的防病毒软件,攻击者使用了Defender Control和Your Uninstaller。” “后者是从伊朗软件共享网站下载的-在Chrome工件中发现了波斯语“دانلودنرمافزار”的Google搜索查询。”然后,攻击者将在网络上横向移动并部署Dharma变体可执行文件,加密数据并为受害者留下赎金记录。研究人员说,黑客通常要求赎金在1到5 BTC之间(在撰写本文时价值在12,000到59,000美元之间)。尽管这场运动中受害者的确切人数尚不清楚,但发现的法医文物表明,该坎帕格的威胁者“远远落后于伊朗大型APT的复杂程度。”IB集团的研究人员说:“新发现的黑客组织暗示,伊朗多年来一直是由国家资助的APT组织的摇篮,现在也可以容纳出于经济动机的网络犯罪分子。”这一变化的部分原因可能是由于大流行使许多易受攻击的主机暴露在外,许多员工在远程工作,这使网络犯罪分子成为非常流行的攻击媒介。因此,建议不要使用默认的RDP端口3389。“由于攻击者通常需要多次尝试暴力破解密码并获得对RDP的访问权限,因此通过限制每个用户失败的登录尝试次数来启用帐户锁定策略非常重要。”
