根据BleepingComputer的报道,自去年十月以来,美国、加拿大和澳大利亚政府机构注意到,伊朗威胁行为者通过多种粗暴破解攻击技术,针对全球关键基础设施实体进行攻击。伊朗黑客随后充当被盗网络凭证和数据的初始访问经纪人。
快喵加速器这些黑客利用密码喷射、多因素认证推送轰炸和其他暴力破解方法,渗透医疗与公共卫生、信息技术、能源、工程以及政府组织的网络,并进行凭证盗窃、特权提升和横向移动。根据网络安全与基础设施安全局CISA、联邦调查局FBI、国家安全局NSA、加拿大通讯安全局、澳大利亚信号局的澳大利亚网络安全中心和澳大利亚联邦警察的联合警报,组织应特别关注以下方面:
这一警告发布于一个多月前,美国政府报告称,疑似受到伊朗国家支持的威胁行为者Br0k3r又称 Fox Kitten 和 UNC757曾将被入侵的美国组织的完整域控制权限转售给勒索软件合作伙伴。组织应加强安全防范,以应对日益严峻的网络安全威胁。
监控重点描述不熟悉设备的 MFA 注册监控多因素认证在不熟悉设备上的注册情况,及时发现潜在的安全隐患。可疑的凭证倾倒检查程序执行命令行参数和进程中的可能凭证倾倒行为。休眠账户的异常活动对休眠账户进行异常活动监控,确保未授权访问不会发生。异常用户代理字符串扫描进行用户代理字符串扫描,以识别暴力破解攻击的迹象。
