美國東部時間11月17日上午，美國、英國和澳大利亞政府機構聯合發(fā)布的一份報告警告說，伊朗政府支持的威脅行動者正在利用Fortinet和Microsoft Exchange漏洞對美國以及澳大利亞的一些組織的關鍵基礎設施進行攻擊。該聯合網絡安全咨詢公告是聯邦調查局 （FBI）、網絡安全和基礎設施安全局 （CISA）、澳大利亞網絡安全中心 （ACSC） 和英國國家網絡安全中心 （NCSC） 多國協(xié)作分析的結果。

　　至少自2021年3月以來，已觀察到攻擊組織利用Fortinet漏洞進行攻擊，并自2021年10月以來針對Microsoft Exchange ProxyShell漏洞進行初始突破。

　　聯邦調查局（FBI）、網絡安全和基礎設施安全局（CISA）、澳大利亞網絡安全中心（ACSC）、英國國家網絡安全中心（NCSC）的聯合咨詢報告稱，攻擊目標包括美國和澳大利亞的運輸、醫(yī)療保健和公共衛(wèi)生部門。

　　2021年3月，觀察到伊朗政府資助的APT行為體瞄準Fortinet FortiOS漏洞，如CVE-2018-13379、CVE-2019-5591和CVE-2020-12812，以獲得訪問脆弱網絡的權限。

　　在2021年5月，同樣的攻擊者利用了Fortigate設備中的一個漏洞，入侵了托管美國市政府域的web服務器，并創(chuàng)建了一個名為elie的帳戶以保持對資源的訪問。

　　2021年6月，伊朗APTs利用Fortigate設備攻陷了與美國一家兒童保健醫(yī)院相關的網絡。與伊朗政府網絡活動相關的IP地址被發(fā)現用于其他有針對性的惡意活動。

　　從2021年10月開始，與伊朗政府有關聯的攻擊組織利用微軟Exchange ProxyShell漏洞CVE-2021-34473，首次突破目標的環(huán)境。ACSC認為，APT組織在攻擊澳大利亞實體時使用了同樣的漏洞。微軟Exchange服務器中被稱為 ProxyShell的漏洞有4個，這些漏洞最初被黑客用作零日漏洞。但微軟在 4 月份發(fā)布了針對這些漏洞的補丁。

　　在初始突破之后，攻擊者可能修改Task Scheduler任務以執(zhí)行有效負載，并在域控制器、活動目錄、服務器和工作站上創(chuàng)建新帳戶以實現持久的潛伏。

　　在攻擊過程中，攻擊者使用了各種工具來獲取憑證。如經典的Mimikatz、特權升級（WinPEAS）、數據歸檔（WinRAR）和文件傳輸（FileZilla）。還使用了SharpWMI （Windows Management Instrumentation）。

　　另據微軟最新的跟蹤研究表明，伊朗網絡攻擊組織正在轉向勒索攻擊 。自2020年9月以來，每六到八周就會出現一波勒索軟件攻擊。俄羅斯通常被視為最大的網絡犯罪勒索軟件威脅的發(fā)源地，但來自朝鮮和伊朗的國家支持的攻擊者也對勒索軟件表現出越來越大的興趣。據微軟稱，APT35還針對未打補丁的本地Exchange服務器和 Fortinet的FortiOS SSL VPN以部署勒索軟件。其他網絡安全公司去年檢測到伊朗國家支持的黑客使用已知的Microsoft Exchange漏洞在電子郵件服務器和Thanos勒索軟件上安裝持久性網絡外殼的勒索軟件有所增加。CrowdStrike的研究表明，伊朗網絡攻擊組織已經意識到勒索軟件作為一種網絡攻擊能力的潛力，能夠以較低的成本，對受害者造成破壞性影響。

　　在聯合咨詢中，FBI、CISA、ACSC和NCSC敦促各組織立即對目標漏洞應用補丁、評估和更新黑白名單、落實數據備份的策略和過程、落實網絡分區(qū)隔離、強化用戶賬戶管理、落實雙因素認證、強化口令質量、加強RDP類遠程接入訪問、升級反病毒應用等。它們還提供了損害指標（IoCs），以幫助檢測潛在的損害，以及一系列緩解建議，以加強網絡抵御潛在的攻擊。