伊朗威胁行为体活动的发展趋势（译文）——微软威胁情报中心在2021年网络战争大会上的演讲

微软威胁情报中心

0 引 言

在过去的一年里，微软威胁情报中心（Microsoft Threat Intelligence Center，MSTIC）观察到位于伊朗的恶意网络行为体所使用的工具、技术和程序正在逐步演变。在2021年网络战争大会（Cyber WarCon 2021）上，MSTIC的分析师们在题为《伊朗的演变：观察伊朗恶意网络行为体的变化》的报告中提出了他们对伊朗国家行为体活动的趋势分析。本文旨在总结该研究的内容及其演示文稿中涵盖的主题，并展示MSTIC为追踪这些威胁行为体以保护客户免受相关威胁所做的持续努力。

MSTIC始终在追踪威胁行为体的活动，包括本文中讨论的小组，围绕微软安全产品和服务开展工作，将检测功能构建到产品中，以改善对客户的保护。本文的目的是便于其他人能够了解伊朗行为体正在使用的最新技术。

与观察到的国家行为体的活动一样，微软已经直接通知被锁定或受到威胁的客户，为他们提供帮助，保护其账户安全所需的信息。在未知、新兴或发展的威胁活动中，微软使用DEV-#######名称作为集群的临时名称，允许MSTIC将其作为一组独特的信息进行跟踪，直到确认活动背后行为体的来源或身份。一旦条件满足，DEV就会被转换为指定的行为体。

1 勒索软件

自2020年9月以来，MSTIC观察到6个伊朗威胁组织曾部署勒索软件以实现其战略目标。这些勒索软件的部署平均每6～8周以周期性的方式启动一次（如图1所示）。

图1 伊朗威胁行为体勒索软件攻击时间表

在一次观察到的活动中，黑客组织PHOSPHORUS在全球范围内以Fortinet FortiOS SSL VPN和未修补的本地Exchange服务器为目标，在网络上部署勒索软件。数字认证和事件响 应（Digital Forensics and Incident Response，DFIR）报告最近发表了一篇描述类似入侵行为的文章，行为体利用内部Exchange服务器中的漏洞，并通过BitLocker驱动器加密工具来危害受害者环境和加密系统。MSTIC还将此类活动归因于PHOSPHORUS。PHOSPHORUS通过扫描、利用、评估、筹划、勒索5个步骤对目标系统进行广泛的扫描并勒索。

1.1 扫描

2021年初，PHOSPHORUS在互联网上扫描了数百万个IP，以查找易受CVE-2018-13379漏洞攻击的Fortinet FortiOS SSL VPN。此漏洞允许攻击者从易受攻击的Fortinet VPN设备上的会话文件中收集明文授权证书。2021年到目前为止，攻击者从美国、欧洲和以色列的900多个Fortinet VPN服务器上收集了授权证书。在2021年下半年，PHOSPHORUS转向扫描易受ProxyShell漏洞攻击的未修补的本地Exchange服务 器（CVE-2021-26855、CVE-2021-26857、CVE-2021-26858和CVE-2021-27065）。

1.2 利用

当攻击者识别出易受攻击的服务器时，PHOSPHORUS试图在目标系统上获得持久性。在某些情况下，攻击者会下载一个名为Microsoft OutLook Updater.exe的Plink运行程序。该文件将通过SSH定期向他们的C2服务器发送信标，允许攻击者发出进一步的指令。稍后，攻击者将通过Base64编码的PowerShell命令下载自定义植入程序。该植入程序通过修改启动注册表项在受害系统上建立持久性，并最终充当加载程序以下载其他工具。

1.3 评估

在获得持久性之后，PHOSPHORUS对数百名受害者进行了分类，以确定其中哪些适合针对目标采取行动。在选择受害者时，行为体通过以下命令创建了本地管理员账户，用户名为“help”，密码为“_AS_@1394”（如图2所示）。有时，攻击者会放弃LSASS以获得稍后用于横向移动的授权证书。

图2 创建本地管理员账户

1.4 筹划和勒索

最后，MSTIC观察到PHOSPHORUS使用BitLocker驱动器加密工具对几个目标组织的数据和勒索受害者进行加密。BitLocker驱动器加密工具是用于合法目的的全卷加密工具。在破坏初始服务器（通过易受攻击的VPN或Exchange服务器）后，攻击者横向移动到受害者网络上的另一个系统，以获得对更高价值资源的访问。从那里，他们部署了一个脚本来加密多个系统上的驱动器。受害者被指示访问特定的Telegram页面以支付解密密钥的费用（如图3所示）。

图3 引导受害者访问特定页面

2 耐心和坚持

MSTIC观察到，PHOSPHORUS在瞄准受害者之前，会与受害者建立融洽的社会关系。这些操作可能需要行为体投入大量的时间和资源来完成。这一趋势表明，PHOSPHORUS会利用鱼叉式网络钓鱼电子邮件的方式发送未经请求的链接和附件以试图窃取目标的授权证书。

2.1 PHOSHORUS——耐心和坚持

PHOSPHORUS通过包含跟踪链接的电子邮件向目标个人发送“访问请求”，以确认用户是否已打开该文件。一旦收到目标用户的响应，PHOSPHORUS就会发送一个链接，指向托管在云服务提供商上的访问问题的良性列表，继续与目标用户进行多次反复对话，讨论问题，最终发送伪装成谷歌会议链接的会议邀请。

发送会议邀请后，攻击者会不断联系目标用户，要求他们测试谷歌会议链接。攻击者每天多次发送邮件甚至主动打电话联系目标用户，不断纠缠、引导他们点击链接。攻击者非常愿意解决用户登录虚假谷歌会议链接的任何问题，该链接会一直引导至授权证书获取页面。

据MSTIC观察，PHOSPHORUS在发送初始诱饵后，在电子邮件中语气变得咄咄逼人，几乎要求目标用户立刻做出回应。

2.2 CURIUM——从长远来看

CURIUM是另一个伊朗威胁行为体，在针对目标用户时表现出极大的耐心。与PHOSHORUS通过网络发送钓鱼电子邮件不同，CURIUM擅长利用虚构的网络社交媒体账户与目标建立信任并传播恶意软件。

这些攻击者主要有以下策略：（1）在社交媒体上伪装成有魅力的女人；（2）通过社交媒体与目标用户通过LinkedIn、Facebook等建立联系；（3）每天与目标用户聊天；（4）向目标用户发送视频，让他们放松警惕；（5）将恶意文件发送给目标用户；（6）请求目标用户打开恶意文件；（7）从已入侵的计算机中提取数据。

从最初的建立联系到恶意文档的交付，上述过程可能需要几个月的时间。随着时间的推移，攻击者与目标用户保持长期联系，建立信任关系以达成最后的威胁行动。

通过保持耐心、建立关系并不断纠缠目标，伊朗威胁行为体在损害目标方面取得了更大的成功。

3 暴力攻击

2021年，MSTIC观察到DEV-0343通过持续的密码喷洒技术对Office 365用户进行攻击。MSTIC评估DEV-0343为可能支持伊朗利益的威胁行为体。MSTIC此前曾在博客上发布过关于DEV-0343活动的信息。

对Office 365日志的分析表明，DEV-0343正在使用诸如o365spray之类的红队工具来进行这些攻击。

在支持美国、欧盟和以色列政府合作伙伴生产军用级雷达、无人机技术、卫星系统和应急响应通信系统的国防公司中，已观察到此DEV-0343活动的目标，其进一步的活动是针对地理信息系统（GIS）、空间分析、波斯湾区域性入境口岸以及几家专注于中东业务的海运和货物运输公司的客户。

正如之前在博客中的讨论，DEV-0343的活动轨迹与伊朗境内其他黑客组织的行动日程高度一致。DEV-0343组织的活动在周日至周四UTC 04:00:00至16:00:00达到峰值（如图4、图5所示）。

图4 观察到的DEV-0343工作时间（UTC）

图5 每天观察到的DEV-0343攻击请求

MSTIC观察到DEV-0343和伊朗其他黑客组织同时将同一用户作为攻击目标。例如，黑客组织EUROPIUM试图在2021年6月12日访问一个特定账户，并最终在2021年6月13日获得了对该账户的访问权限。MSTIC观察到DEV-0343在EUROPIUM获得访问权限的几分钟内同样瞄准了该账户。MSTIC对其重叠现象进行评估表明，在获取目标信息方面，不同伊朗行为体之间存在协调关系。

4 结 语

伊朗行为体调整了他们的战略目标和商业手段，随着时间的推移，他们已经发展成为更有能力的威胁行为体，能针对信息化运营、扰乱和破坏、对实际行动的支持等方面进行全方位的行动。

具体而言，伊朗行为体已经证明自己愿意并且能够：（1）部署勒索软件；（2）部署磁盘彻底删除工具；（3）部署移动恶意软件；（4）进行网络钓鱼攻击；（5）进行密码喷洒攻击；（6）进行大规模利用攻击；（7）实施供应链攻击；（8）隐藏在合法云服务背后的C2通信。