Seit Oktober 2023 nutzen iranische Cyberakteure vermehrt Passwort-Spraying, Multifaktor-Authentifikation (MFA) „push bombing“ und Brute-Force-Angriffe, um sich Zugriff auf Benutzerkonten zu verschaffen. Insbesondere Konten von Microsoft365, Azure und Cirtrix sind von den Angriffen betroffen. Dies berichten die US-amerikanische Cybersicherheitsbehörde CISA, FBI, NSA, Kanadas CSE und Australiens AFP sowie ACSC in einem gemeinsamen Bericht.
Beobachtungen
Die Gruppierungen nehmen dabei gezielt Organisationen aus den Bereichen Energieproduktion und -Versorgung, Herstellungs- und Produktionsbetriebe, Gesundheitswesen, Informationstechnologie und Regierungseinrichtungen ins Visier.
Hintergrund und Methoden
Die Angriffe dienen der Erlangung von Zugangsdaten, der Manipulation von mit MFA gesicherten Zugängen sowie dem Ausspähen von Netzwerken und Systemen. Die so gewonnenen Informationen werden anschließend auf Cybercrime-Foren verkauft. In ihrem gemeinsamen Bericht beschreiben die Sicherheitsbehörden die Taktiken, Techniken und Prozeduren (TTPs) der Angreifer und stellen Indicators of Compromise (IOCs) zur Verfügung.
Attribution
Das beschriebene Angriffsmuster ist der Cyberabwehr des Landesamtes für Verfassungsschutz bekannt. Die Cyberabwehr warnte im September 2023 vor ähnlichen Angriffen. Damals nutzte die iranische Cybergruppierung Peach Sandstrom diese Methode, um Informationen zu sammeln, die iranischen Staatsinteressen dienen könnten. Ein staatlich gesteuerter Hintergrund kann daher nicht ausgeschlossen werden.
Empfehlungen
Organisationen wird empfohlen, Authentifizierungsprotokolle zu überprüfen, um wiederholt fehlgeschlagene Authentifizierungsversuche zu identifizieren, die auf Brute-Force-Aktivität oder verdächtige Logins hinweisen. Auch IP-Adressen, die für mehrere Konten verwendet werden, Logins ausgehend von IP-Adressen mit großer geografischer Entfernung, verdächtige MFA-Registrierungen, verdächtige privilegierte Kontonutzung, ungewöhnliche Aktivitäten in ungenutzten Konten sowie die Verwendung von ungewöhnlichen Benutzernamen, sollten genau untersucht werden. Um solche Angriffe möglichst zu verhindern, sollten Organisationen die Einhaltung von aktuellen Passwortrichtlinien durchsetzen, Benutzerkonten ehemaliger Mitarbeiter deaktivieren, Phishing resistente MFA-Prozeduren implementieren und regelmäßige Sensibilisierungsmaßnahmen der eigenen Mitarbeiter durchführen.