转自TheHackerNews，作者Ravie Lakshmanan，蓝色摩卡译，合作站点转载请注明原文译者和出处为超级盾！

网络安全研究人员发表的一份新报告披露了过去三年来，伊朗政府资助的黑客针对以色列和世界各地数十家公司和组织的证据。网络间谍活动被

称为“ Fox Kitten ”，针对的是来自IT，电信，石油和天然气，航空，政府和安全部门的公司。ClearSky 研究人员说： “我们估计，这份报告中披露的战役是伊朗迄今所揭示的最连续，最全面的战役之一。”

“揭露的战役被用作侦察基础设施；但是，研究人员将攻击活动与威胁小组APT33，APT34和APT39捆绑在一起，使用开放源代码和自行开发的工具进行了混合。

这进而使窃取敏感信息被利用，比方说，产生进一步的供应链攻击来针对其他组织。

利用VPN缺陷危害企业网络

伊朗集团采用的主要攻击媒介是利用未修补的VPN漏洞来渗透和窃取目标公司的信息。

以这种方式利用的著名 VPN系统包括Pulse Secure Connect（CVE-2019-11510），Palo Alto Networks的Global Protect（CVE-2019-1579），Fortinet FortiOS（CVE-2018-13379）和Citrix（CVE-2019- 19781）。

ClearSky指出，通过利用“在相对较短的时间段内的1天漏洞”，黑客组织能够成功获取对目标核心系统的访问权限，丢弃其他恶意软件，并在网络上横向传播。

成功获得最初立足点后，发现受感染的系统可以与攻击者控制的命令和控制（C2）服务器通信，以下载一系列自定义的VBScript文件，这些文件又可以用于植入后门程序。

此外，后门代码本身就是分批下载的，以避免被安装在受感染计算机上的防病毒软件检测到。这是一个单独的下载文件（称为combine.bat）的工作，可以将这些单独的文件拼接在一起并创建可执行文件。

为了执行这些任务并实现持久性，威胁参与者利用诸如Juicy Potato和Invoke the Hash之类的工具获得高级特权并在网络上横向移动。攻击者开发的其他一些工具包括：

STSRCheck-一种工具，用于映射目标网络中的数据库，服务器和开放端口，并通过使用默认凭据进行日志记录来对其进行暴力破解。Port.exe-扫描预定义端口和服务器的工具。

一旦攻击者获得了横向移动能力，攻击者便进入了最后阶段：执行后门以扫描受感染系统以获取相关信息，并通过建立远程桌面连接或打开与硬编码IP地址的基于套接字的连接。

此外，攻击者使用Web Shell来与位于目标内部的服务器进行通信，并将文件直接上传到C2服务器。

多个伊朗黑客团体的工作

根据战役对网络外壳的使用以及攻击基础设施的重叠情况，ClearSky报告强调指出，针对VPN服务器的攻击可能与三个伊朗组织相关联-APT33（“ Elfin”），APT34（“ OilRig”）和APT39（Chafer ）。

此外，研究人员评估了该活动是“基础设施小组之间的合作”的结果，并指出了这三个小组在工具和工作方法上的相似之处。

就在上个月，伊朗政府支持的黑客组织“ Magnallium ”被发现针对美国电力公司以及石油和天然气公司进行了密码攻击。

鉴于攻击者将在24小时内利用VPN漏洞进行武器攻击，因此组织必须在可用时安装安全补丁。

除了遵循最小特权原则之外，毫无疑问，关键系统会得到持续监控并保持最新状态。实施两步身份验证可以大大减少未授权的登录。

声明：我们尊重原创者版权，除确实无法确认作者外，均会注明作者和来源。转载文章仅供个人学习研究，同时向原创作者表示感谢，若涉及版权问题，请及时联系小编删除！

精彩在后面

Hi，我是超级盾

更多干货，可移步到，微信公众号：超级盾订阅号！精彩与您不见不散！

超级盾能做到：防得住、用得起、接得快、玩得好、看得见、双向数据加密！

截至到目前，超级盾成功抵御史上最大2.47T黑客DDoS攻击，超级盾具有无限防御DDoS、100%防CC的优势。