TTL OSINT

Киберпреступники из Ирана, осуществляющие атаки с использованием программ-вымогателей на американские организации

Эта статья представляет собой совместную рекомендацию по кибербезопасности, опубликованную Федеральным бюро расследований (ФБР), Агентством по кибербезопасности и инфраструктурной безопасности (CISA) и Центром по борьбе с киберпреступлениями Министерства обороны (DC3), в которой содержится предупреждение о том, что киберпреступники из Ирана используют уязвимости в американских и иностранных организациях. Субъекты, связанные с правительством Ирана (GOI), с 2017 года предпринимают многочисленные попытки проникновения в компьютерные сети американских организаций, нацеливаясь на такие секторы, как образование, финансы, здравоохранение и оборона. В рекомендациях содержится подробная информация о тактике, методах и процедурах участников (TTP) и индикаторах компромисса (IOCs), а также рекомендации организациям следовать рекомендациям по защите от их деятельности. ФБР и CISA также рекомендуют, чтобы, если организации считают, что они подверглись нападению или компрометации, они немедленно обратились за помощью в местное отделение ФБР и/или сообщили об инциденте с помощью формы отчета об инцидентах CISA. Было замечено, что иранские киберпреступники используют удаленные внешние сервисы на подключенных к Интернету ресурсах, сканируют IP-адреса, на которых размещены шлюзы безопасности Check Point, и ищут устройства, потенциально уязвимые для CVE-2024-24919. Они также провели массовое сканирование IP-адресов, на которых размещены устройства Palo Alto Networks PAN-OS и GlobalProtect VPN, и использовали организации, используя CVE-2019-19781 и CVE-2023-35. Эти субъекты участвовали в кампаниях по взлому и утечке информации, таких как кампания Pay2Key конца 2020 года, целью которой было подорвать безопасность израильской киберинфраструктуры, а не получить выкуп. Группа использует название иранской компании Danesh Novin Sahand в качестве прикрытия для своей вредоносной кибератаки.

Отказ от ответственности: Эта статья является частью автоматизированного сборника рекомендаций X-Force OSINT, предназначенного для более быстрой интеграции статей с открытым исходным кодом в клиентские среды. Все авторские права принадлежат авторам оригинала.

Ссылка:https://www.cisa.gov/news-events/cybersecurity-advisories/aa24-241a

Примерные показатели компромисса:

• 13.53.124.246
• 167.99.202.130
• 51.20.138.134
• 18.134.0.66
• githubapp.net

Следите за киберугрозами вместе с экспертами CRATU!
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации по детекту и доля иронии — всё, как вы любите.

CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал