Cơ quan An ninh mạng và cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI), Cơ quan An ninh quốc gia (NSA) của Mỹ, Cơ quan Tình báo Điện tử Canada (CSE), Cảnh sát Liên bang (AFP) và Trung tâm An ninh mạng (ACSC) của Úc cho biết, kể từ tháng 10/2023, các nhóm tin tặc của Iran đã sử dụng phương pháp Password Spraying (một loại tấn công Brute Force liên quan đến việc kẻ tấn công cố gắng sử dụng nhiều mật khẩu chung để có quyền truy cập), MFA bombing và các kỹ thuật khác để xâm nhập vào tài khoản người dùng và hệ thống của các tổ chức.

Các cuộc tấn công nhắm vào các cơ quan trong lĩnh vực năng lượng, kỹ thuật, chính phủ, chăm sóc sức khỏe và y tế công cộng (HPH) và công nghệ thông tin để đánh cắp thông tin xác thực, sửa đổi đăng ký xác thực đa yếu tố (MFA) để truy cập liên tục và thực hiện dò quét mạng nhằm đánh cắp thêm thông tin xác thực và dữ liệu quan trọng khác.

Các cơ quan đánh giá, tác nhân đe dọa Iran rao bán những thông tin mà chúng thu thập được trên các diễn đàn tội phạm mạng. Trước khi có được quyền truy cập liên tục vào các mạng mục tiêu, các tin tặc có thể thu thập thông tin về nạn nhân. Sau khi xâm phạm ban đầu, chúng thực hiện thêm hoạt động do thám để thu thập thông tin xác thực, nâng cao đặc quyền, phát hiện các hệ thống trên mạng và di chuyển ngang hàng.

Bản khuyến cáo cho biết: “Những kẻ tấn công sử dụng tài khoản email nhóm và người dùng hợp lệ, thường lấy được bằng cách tấn công Brute Force như Password Spraying, mặc dù đôi khi bằng các phương pháp không xác định, để có được quyền truy cập ban đầu vào các hệ thống Microsoft 365, Azure và Citrix”.

Nếu MFA dựa trên thông báo được bật, kẻ tấn công sẽ tấn công người dùng bằng thông báo MFA cho đến khi họ chấp thuận yêu cầu. Sau khi truy cập tài khoản, chúng đăng ký thiết bị của mình bằng MFA để đảm bảo quyền truy cập lâu dài.

Bên cạnh đó, các tin tặc thường tiến hành hoạt động của chúng bằng dịch vụ mạng riêng ảo (VPN). Một số địa chỉ IP trong hoạt động độc hại của những kẻ tấn công bắt nguồn từ các "exit node" được liên kết với dịch vụ VPN Private Internet Access.

Các tin tặc bị phát hiện sử dụng Remote Desktop để di chuyển ngang hàng, sử dụng các công cụ mã nguồn mở để do thám và thu thập thông tin xác thực, đồng thời mạo danh Domain Controller, có khả năng là bằng cách khai thác lỗ hổng ZeroLogon (CVE-2020-1472).

Bản khuyến cáo nêu rõ: “Trong một số trường hợp, khi đăng nhập vào tài khoản của nạn nhân, kẻ tấn công đã tải xuống các tệp liên quan đến việc truy cập từ xa và kho dữ liệu của tổ chức, có khả năng đánh cắp các tệp để tiếp tục tồn tại trong mạng của nạn nhân hoặc để rao bán thông tin trực tuyến”.

Đây không phải là lần đầu tiên tin tặc Iran nhắm vào các cơ sở hạ tầng quan trọng. Vào tháng 8, các cuộc điều tra của FBI đã tiết lộ rằng các tác nhân đe dọa như Pioneer Kitten, có liên hệ với Chính phủ Iran và liên kết với một công ty công nghệ thông tin của Iran. Đánh giá được thực hiện với sự hợp tác của CISA, FBI và Trung tâm tội phạm mạng của Bộ Quốc phòng Mỹ, chỉ ra rằng những tin tặc này đang tham gia vào các hoạt động mạng độc hại.

Các tổ chức được khuyến cáo nên xem lại nhật ký xác thực để xác định nhiều lần xác thực không thành công, cho thấy hoạt động tấn công bằng Brute Force, thông tin đăng nhập đáng ngờ, IP được sử dụng cho nhiều tài khoản, thông tin đăng nhập từ nhiều IP có khoảng cách địa lý đáng kể, đăng ký MFA và sử dụng tài khoản có đặc quyền đáng ngờ, hoạt động bất thường trong tài khoản không hoạt động, chuỗi tác nhân người dùng bất thường và các nỗ lực ghi đè thông tin đăng nhập.

Để ngăn ngừa các cuộc tấn công, các tổ chức nên cập nhật chính sách quản lý mật khẩu như: tránh sử dụng những mật khẩu phổ biến, thiết lập mật khẩu đủ mạnh (có cả chữ thường, in hoa, số và ký tự đặc biệt); vô hiệu hóa tài khoản của nhân viên cũ hoặc những người dùng từ lâu không hoạt động; triển khai xác thực MFA; tổ chức các khóa đào tạo về an ninh mạng cho người dùng.