我们看一下伊朗国家赞助黑客团体构成的低估威胁

自2010年臭名昭著的Stuxnet攻击以来,伊朗一直积极赞助网络攻击

伊朗国家赞助的威胁行为者通常被认为是不老练的,但安全专家被要求每日swbeplay2018官网ig警告说,低估该国在网络空间构成的危险是不明智的。

伊朗国家赞助的间谍活动的主要目标是针对世界各地的多个行业的组织,以及持不同政见者或被标记为敌人的组织伊朗

伊朗威胁参与者与世界其他地方的团体相比如何?

普遍认为,由国家支持的伊朗国家支持的伊朗黑客比其在俄罗斯或中国的资源良好的对手不那么先进。

伊朗攻击者可能很少利用零日漏洞,但是他们缺乏在社会工程技巧中弥补的技术成熟。

例如,众所周知,他们会投入大量精力来开发更精致的社会工程学LinkedIn和其他地方的角色,以说服潜在的可疑目标开放恶意联系或附件。

根据威胁情报专家的说法,归因于伊朗的网络运营表现出广泛的技能水平。

Mandiant威胁情报的副分析师Emiel Haeghebaert评论:

在技​​能范围的下端,伊朗在地下论坛上有一个活跃的黑客社区。他们的一些成员从事以政治动机,破坏性的行动,例如分布式拒绝服务对伊朗在中东的对手,袭击通常被认为是不合适的。

同时,中级运营商以伊朗侨民为目标监视内部反对派。

Heghebaert表示:“这些操作通常依赖于矛式钓鱼或短信信息,通常遵循可预测的战术,技术和程序[TTPS]的模式。”


有关的伟大的防火墙背后:中国网络 - 急诊室适应后瓦的世界,并以隐形的攻击


在规模的上端,“诸如APT34之类的长期威胁参与者始终开发自定义恶意软件,并使用更先进的技术来损害其目标,包括DNS劫持和已知的网络利用”。beplay体育能用吗

归因于俄罗斯或中国的威胁参与者通常表现出更先进的技术,更好操作安全根据Mandiant的说法,归因于伊朗的群体。

Mandiant的Heghebaert警告说:“但这并不一定意味着伊朗恰当(高级持久威胁)团体没有成功。”


伊朗网络运营通常严重依赖社会工程伊朗网络犯罪行动“通常依靠社会工程,通常遵循可预测的模式”

运动谨慎

SecureWorks高级信息安全研究人员Rafe Pilling同意,尽管伊朗保持了有效且有效的网络威胁性格,但它却没有中国人和俄罗斯能力。

“伊朗威胁团体有一系列成熟的范围,有些人与低端商业红色团队以及其他发展和部署小说相提并论恶意软件在网络中,质量合理,运动的谨慎和勤奋。”每日swbeplay2018官网ig

“我们往往看不到伊朗团体使用的零日漏洞利用,尽管有历史SQL注入攻击和网络利用效果很好。beplay体育能用吗”他补充说。


赶上最新的网络战线新闻


伊朗威胁团体已证明Adroit迅速采用了新鲜出版的剥削代码漏洞

SecureWorks称:“过去几年的VPN,Citrix和RDP漏洞受到了青睐。”

伊朗网络竞争活动通常是通过长矛捕捞电子邮件,欺骗目标以下载武器化的文档或后排移动应用程序以监视它们,而不是利用设备本身上的漏洞。

“此外,对这些小组使用的移动工具的分析表明,非常依赖开源移动安全专家Lookout的安全智能工程师Justin Albrecht表示,或泄漏的代码。


“Much of the malware we’ve analyzed tied to Iranian APTs feature full RAT capabilities, however they lack many of the modern elements growing in popularity amongst malware developers such as the abuse of Accessibility Services, heavy obfuscation, and packer use. Despite this, our research indicates that their methods are successful based on exfiltrated victim data.”


How are Iranian threat groups evolving?

伊朗开始大力投资其网络运营计划Stuxnet攻击(破坏了运行核丰富离心机的机械的恶意软件)2010年。

Mandiant的Heghebaert解释说:

伊朗网络运营最初是由“伊朗网络军”经常进行的低级污损。然而,随着政府和军事网络计划的成熟,我们开始观察到更先进的活动,符合伊朗的战略优先事项。

temp.zagros最近,仅使用公开使用工具进行了操作,而其历史运营则依赖于一些定制恶意软件家庭和恶意宏观文档,这表明对操作安全性的勤奋增加了。

我们认为,在2010年发现Stuxnet之后,伊朗开始大量投资其网络运营计划,我们可以从那里跟踪进化。

但是,同时,我们看到了一些迹象表明,伊朗正在进行更具侵略性的操作,旨在破坏目标的网络和日常操作,包括通过勒索软件。

Piskiq威胁情报主管凯文·利维利(Kevin Livelli)表示,伊朗攻击者“使他们的TTP多样化”,以使他们的竞选活动更加困难。

Livelli说:“他们正在远离自定义代码和后门,而不是内置的'陆地'技术,并利用受损的用户凭据。”


推荐的长矛捕捞指南 - 如何防止有针对性的攻击


伊朗有指挥的历史网络攻击通过代理组织或创建假小组角色来负责攻击并声称责任 - 例如,“裁定司法剑”团体声称对2012年的Shamoon负责刮水器恶意软件攻击

“也有迹象表明,伊朗团体正在进行破坏性攻击中东根据SecureWorks的说法,以使用Thanos,Pay2Key和N3TW0RM在内的恶意软件(包括Thanos,Pay2Key和N3TW0RM)的义务行动。”

有证据表明,现成的技术的使用日益增长以及对本地操作系统应用的熟练程度。

“合法软件对防御者构成了一个问题,因为它可能与任何网络的常规操作'噪声'融为一体,”数字阴影的高级威胁情报分析师肖恩·尼克尔(Sean Nikkel)告诉每日swbeplay2018官网ig

伊朗威胁行为者如何组织?



伊朗的主要网络运营是由伊斯兰革命警卫队(IRGC)和情报与安全部(MOIS)以及附属的承包商和前沿公司进行的。

IRGC是一个强大的准军事组织,据说负责破坏性和破坏性攻击。MOI是一家平民情报部门,重点是秘密获取情报。

Intsights威胁情报咨询主管Paul Prudhomme告诉每日swbeplay2018官网ig:“ IRGC和MOI的员工经常将攻击外包给非雇员,包括他们通过胁迫,赔偿或两者兼而有之的伊朗黑客和罪犯。

“一些伊朗威胁团体几乎是作为将数据出售给伊朗公共部门组织的企业的运作,或者自行组织为'机构'。”


许多网络攻击活动归因于伊朗数十个备受瞩目的网络攻击已归因于各种伊朗国家支持的威胁集团


伊朗攻击者将哪些国家和组织成为目标?

政府机构和国防承包商是伊朗威胁行为者的主要目标,因为成功的违规行为可以产生政治和军事情报,以及高价值的知识产权。

根据威胁英特尔公司Intsights的说法,四个国家是国家资助的伊朗袭击的主要目标:美国,以色列,沙特阿拉伯和阿联酋。


有关的俄罗斯网络划线的伊朗黑客攻击工具攻击数十个国家


Intsights的Prudhomme评论说:“由于他们与现任伊朗政府的长期对抗关系,这是美国和以色列的主要目标。

“由于各种政治,经济,宗派和种族因素,包括参加也门的地区代理战争,沙特阿拉伯是伊朗的另一个主要地区对手。

他补充说:“阿联酋是一个目标,这是由于更广泛的因素,包括外交和经济紧张局势,迪拜和阿布扎比作为全球商业和运输中心的作用,以及阿联酋许多伊朗外籍人士的存在。”

哪些网络攻击归因于伊朗?

自2012 - 2013年以来,破坏和破坏一直是国有赞助的伊朗袭击的标志性特征。

“ Shamoon雨刮器恶意软件Prudhomme说:“对沙特阿拉伯和卡塔尔国家石油和天然气公司的攻击为未来对该行业的刮水器恶意软件攻击(主要是在随后的波斯湾)的先例。”

“国有赞助的伊朗演员还针对水基础设施,从2013年的纽约鲍曼大坝的工业控制系统(ICS)开始,最近在2020年对以色列水基础设施进行了一系列攻击。”

归因于伊朗团体的其他攻击包括2012年和2013年对西方银行的DDOS攻击,有时被称为“ Opababil”。

对西方大学的攻击针对窃取研究的旨在归咎于伊朗实体,伊朗嫌疑人在2018年被命名美国司法部起诉

2020年,伊朗网络间谍团体也针对美国总统大选。

最近,伊朗威胁参与者一直积极针对防火墙和VPN利用。

SecureWorks说:“自动扫描会导致网络壳的部署。”beplay体育能用吗“然后,威胁行为者将使用网络壳来手动对受害者网络进行手动分类,并在目标有beplay体育能用吗效的情况下进行进一步的活动。”


你可能还喜欢针对Zyxel防火墙和VPN的“先进威胁行为者”