Исследователи предупредили, что иранские злоумышленники взламывают организации критической инфраструктуры для сбора учетных данных и сетевой информации, а затем продают эту информацию на хак-форумах другим преступникам. О том, что иранские хакеры все чаще действуют как брокеры доступов, предупреждают власти США, Канады и Австралии. По их словам, преступники используют брутфорс для получения доступа к организациям в сферах здравоохранения и общественного здоровья, государственного управления, информационных технологий, машиностроения и энергетики. «С октября 2023 года иранские акторы используют брутфорс, например, атаки типа password spraying и push-бомбинг для многофакторной аутентификации (МФА), чтобы взламывать учетные записи пользователей и получать доступ к организациям», — гласит совместный отчет. После этого злоумышленники стремятся получить постоянный доступ к целевой сети, обычно тоже используя для этого брутфорс. Затем они собирают дополнительные учетные данные, повышают привилегии, изучают взломанные системы и сеть, что позволяет продвигаться дальше и находить другие точки доступа и эксплуатации. Для перемещения по сети обычно используется RDP, а порой хакеры развертывают необходимые бинарники при помощи PowerShell и Microsoft Word. Предполагается, что сбора дополнительных учтенных данных используются опенсорсные инструменты, например, для кражи тикетов Kerberos. Для повышения привилегий хакеры пытаются выдать себя за контроллер домена, «вероятно, используя уязвимость CVE-2020-1472 в Microsoft Netlogon (также известную как Zerologon)», —пишут специалисты. Власти не раскрывают все методы, используемые в таких атаках, но сообщают, что в некоторых случаях хакеры применяли технику password spraying для доступа к существующим учетным записям пользователей и групп. Другой упомянутый метод, это push-бомбинг, в ходе которого злоумышленники забрасывают мобильный телефон цели запросами МФА, чтобы измотать пользователя, пока тот не одобрит попытку входа в систему (либо случайно, либо чтобы пресечь поток уведомлений). Также отмечается, что иранские хакеры использовали пока неизвестные техники для получения доступа к средам Microsoft 365, Azure и Citrix. После получения доступа к учетной записи злоумышленники обычно стремятся зарегистрировать свои устройства в МФА-системе организации.