疑似伊朗支持的APT组织正发动全球DNS劫持攻击

iso60001  2171天前

22.jpg

近期,FireEye的安全专家发现了一场针对政府机构、ISP和电信提供商、互联网基础设施以及中东、北非、北美和欧洲的敏感商业机构的DNS劫持活动。据专家称,此次浩大的攻击活动与疑似伊朗政府支持的APT组织“moderate confidence”有关。

“FireEye的Mandiant紧急响应小组已经确定了近期全球范围内的一股DNS劫持浪潮,影响了与中东、北非、欧洲和北美的政府、电信和互联网基础设施相关的数十个域名。”

“虽然目前我们还没有完全确定这一活动与某个特定的组织有联系,但初步研究表明,这次攻击至少牵扯到一个或多个来自伊朗的攻击者。”

安全专家主要监测了从2017年1月至2019年1月期间攻击者活动。

通过和受害者合作,FireEye收集了一定的证据,证明这次攻击浪潮与伊朗有关,特别是此次攻击的TTP(即战术、技术和程序)以及其中牵扯的利益都符合伊朗APT组织的特征。我们还在尽可能的和受害者、安全组织和执法机构密切合作,以减少攻击所带来的影响,防止造成进一步危害。

FireEye研究人员在流量中转服务器中抓到了伊朗的IP。此前,同样的IP也出现在伊朗网络间谍所进行的网络攻击中。

攻击者此次行动不涉及经济利益,主要目标是几个中东国家的政府的机密数据,这些数据对伊朗来说意义非凡。

值得注意的是,FireEye证实,此次大规模的DNS劫持,与该伊朗APT组织以前的攻击行为不符。

FireEye发表的报告表示:“虽然这场攻击也采用了一些传统的攻击策略,但大规模DNS劫持这一行为,还是不同于我们以前所观察到的该伊朗APT组织的动作。”

“攻击者先将DNS劫持用于攻击的第一步,然后再辅以其他多种攻击方式。”

攻击者使用三种不同的技术来操控DNS记录,以攻击目标。

第一种技术:攻击者试图使用已被泄露的登入凭证进入到DNS提供商的管理界面,更改DNS中的A记录,拦截电子邮件流量。

33.png

第二种技术:攻击者试图在入侵受害者的域注册帐户后更改DNS的NS记录。

44.png

在以上两种攻击场景下,攻击者利用Let's Encrypt证书来避免受害者引起怀疑,用其建立了一个没有任何证书错误的网络连接。

“Let's Encrypt证书会让浏览器建立一个没有任何证书错误的网络连接,因为Let's Encrypt授权级别x3为高度可信的。”研究人员继续说道。

利用这些技术,攻击者能够获取受害者的用户名、密码和域登入凭证。

而第三种攻击技术涉及一个DNS重定向软件,由于之前修改了A和NS记录,所以攻击者可以将受害者的流量重定向到由攻击者控制的服务器上。

55.png

FireEye表示,他们仍在确定修改DNS记录所涉及的攻击流量,可能包括网络钓鱼在内的多种攻击技术。

目前来说,很难准确识别出每个DNS记录的非法更改所对应的攻击技术,安全专家们认为攻击者肯定使用了多种技术来获得更改权限。

“此外,虽然更改DNS记录的准确方法尚不清楚,但我们相信,至少有一些DNS记录是通过登录受害者的域注册帐户去更改的。”FireEye总结道。

“这种大规模的DNS劫持,表示伊朗APT组织的战术在持续变化。我们需要时刻注意这个APT组织的TTP(即战术、技术和程序)以便采取适当的防御措施。”

本文由白帽汇整理并翻译,不代表白帽汇任何观点和立场
来源:https://securityaffairs.co/wordpress/79722/apt/iran-apts-dns-hijacking.html

最新评论

昵称
邮箱
提交评论