Kitartó kompromittáció
A FortiGuard Incidenskezelő Csapata (FGIR) nemrégiben egy hosszú távú kibertámadást vizsgált, amely a Közel-Kelet egyik kritikus nemzeti infrastruktúráját célozta meg. A támadást egy iráni államilag támogatott fenyegető csoportnak tulajdonítják, amely kiterjedt kémkedési műveleteket hajtott végre, és valószínűleg előkészületeket tett a jövőbeli stratégiai előnyök biztosítása érdekében.
A behatolás legalább 2023 májusától 2025 februárjáig tartott, de jelek utalnak arra, hogy már 2021 májusában is jelen voltak kompromittált rendszerek. A támadók ellopott VPN-hitelesítő adatokat használtak a kezdeti hozzáférés megszerzéséhez, majd webshell-t és back door-okat telepítettek, mint például Havoc, HanifNet, HXLibrary és NeoExpressRAT. A hálózati szegmentáció megkerülésére nyílt forráskódú proxy eszközöket alkalmaztak, például plink, Ngrok, glider proxy és ReverseSocks5. A támadók ütemezett feladatokat hoztak létre, amelyek legitim Windows-folyamatoknak tűntek, így biztosítva a hosszú távú jelenlétet a rendszerben. Különös figyelmet fordítottak a virtualizációs infrastruktúrára, feltérképezve a hálózati konfigurációkat és kihasználva a ZKTeco ZKBioTime szoftver sebezhetőségeit, amelyek korábban nem voltak ismerten kihasználva. A kezdeti elhárítási lépések után a támadók újra próbálkoztak hozzáférést szerezni, kihasználva webalkalmazások sebezhetőségeit és célzott adathalász kampányokat indítva rendszergazdai hitelesítő adatok megszerzésére.
A célzott szervezet erősen szegmentált hálózattal rendelkezett, beleértve egy korlátozott OT környezetet. Bár nem történt megerősített működési zavar, a támadás kiemeli a kritikus infrastruktúrák elleni kibertámadások növekvő kockázatát és a fejlett fenyegetések alkalmazását.
A FortiGuard megosztotta a támadás indikátorait (IoC) és a támadók taktikáinak, technikáinak és eljárásainak (TTPs) részletes elemzését.
