疑似伊朗支持的APT组织正发动全球DNS劫持攻击

近期，FireEye的安全专家发现了一场针对政府机构、ISP和电信提供商、互联网基础设施以及中东、北非、北美和欧洲的敏感商业机构的DNS劫持活动。据专家称，此次浩大的攻击活动与疑似伊朗政府支持的APT组织“moderate confidence”有关。

“FireEye的Mandiant紧急响应小组已经确定了近期全球范围内的一股DNS劫持浪潮，影响了与中东、北非、欧洲和北美的政府、电信和互联网基础设施相关的数十个域名。”

“虽然目前我们还没有完全确定这一活动与某个特定的组织有联系，但初步研究表明，这次攻击至少牵扯到一个或多个来自伊朗的攻击者。”

安全专家主要监测了从2017年1月至2019年1月期间攻击者活动。

通过和受害者合作，FireEye收集了一定的证据，证明这次攻击浪潮与伊朗有关，特别是此次攻击的TTP（即战术、技术和程序）以及其中牵扯的利益都符合伊朗APT组织的特征。我们还在尽可能的和受害者、安全组织和执法机构密切合作，以减少攻击所带来的影响，防止造成进一步危害。

FireEye研究人员在流量中转服务器中抓到了伊朗的IP。此前，同样的IP也出现在伊朗网络间谍所进行的网络攻击中。

攻击者此次行动不涉及经济利益，主要目标是几个中东国家的政府的机密数据，这些数据对伊朗来说意义非凡。

值得注意的是，FireEye证实，此次大规模的DNS劫持，与该伊朗APT组织以前的攻击行为不符。

FireEye发表的报告表示：“虽然这场攻击也采用了一些传统的攻击策略，但大规模DNS劫持这一行为，还是不同于我们以前所观察到的该伊朗APT组织的动作。”

“攻击者先将DNS劫持用于攻击的第一步，然后再辅以其他多种攻击方式。”

攻击者使用三种不同的技术来操控DNS记录，以攻击目标。

第一种技术：攻击者试图使用已被泄露的登入凭证进入到DNS提供商的管理界面，更改DNS中的A记录，拦截电子邮件流量。

第二种技术：攻击者试图在入侵受害者的域注册帐户后更改DNS的NS记录。

在以上两种攻击场景下，攻击者利用Let's Encrypt证书来避免受害者引起怀疑，用其建立了一个没有任何证书错误的网络连接。

“Let's Encrypt证书会让浏览器建立一个没有任何证书错误的网络连接，因为Let's Encrypt授权级别x3为高度可信的。”研究人员继续说道。

利用这些技术，攻击者能够获取受害者的用户名、密码和域登入凭证。

而第三种攻击技术涉及一个DNS重定向软件，由于之前修改了A和NS记录，所以攻击者可以将受害者的流量重定向到由攻击者控制的服务器上。

FireEye表示，他们仍在确定修改DNS记录所涉及的攻击流量，可能包括网络钓鱼在内的多种攻击技术。

目前来说，很难准确识别出每个DNS记录的非法更改所对应的攻击技术，安全专家们认为攻击者肯定使用了多种技术来获得更改权限。

“此外，虽然更改DNS记录的准确方法尚不清楚，但我们相信，至少有一些DNS记录是通过登录受害者的域注册帐户去更改的。”FireEye总结道。

“这种大规模的DNS劫持，表示伊朗APT组织的战术在持续变化。我们需要时刻注意这个APT组织的TTP（即战术、技术和程序）以便采取适当的防御措施。”

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场
来源：https://securityaffairs.co/wordpress/79722/apt/iran-apts-dns-hijacking.html