นักวิจัยด้านความปลอดภัยค้นพบ API ของ AWS มากกว่า 20 รายการที่จะสามารถทำให้ผู้โจมตีดักจับข้อมูลของผู้ใช้ได้

นักวิจัยด้านความปลอดภัยจาก Palo Alto Networks พบ API ของ Amazon Web Services (AWS) มากกว่า 20 รายการที่สามารถนำไปใช้เพื่อรับข้อมูลของภายในขององค์กรและใช้ประโยชน์จากข้อมูลเพื่อทำการโจมตีเป้าหมายแบบกำหนดบุคคลที่อยู่ภายในองค์กร

นักวิจัยด้านความปลอดภัยระบุว่า API ที่มีช่องโหว่การโจมตีจะทำงานในพาร์ติชัน AWS ทั้งสามตัวคือ aws, aws-us-gov หรือ aws-cn โดยบริการ AWS ที่เสี่ยงต่อการละเมิด ได้แก่ Amazon Simple Storage Service (S3), Amazon Key Management Service (KMS) และ Amazon Simple Queue Service (SQS)

นักวิจัยกล่าวอีกว่าสาเหตุที่แท้จริงของปัญหาคือที่ถูกค้นพบคือแบ็กเอนด์ AWS จะทำการตรวจสอบ resource-based policies ทั้งหมดที่แนบมากับ resources เช่นบัคเก็ต Amazon Simple Storage Service (S3) และ customer-managed key โดยทั่วไปฟิลด์ Principal จะถูกรวมอยู่ใน resource-based policies เพื่อระบุผู้ใช้ที่มีสิทธิ์เข้าถึง อย่างไรก็ตามหากระบุข้อมูลประจำตัวที่ไม่มีอยู่ใน policy การเรียก API เพื่อสร้างหรืออัปเดต policy จะเกิดการล้มเหลวและผู้โจมตีสามารถใช้ฟีเจอร์เพื่อตรวจสอบข้อมูลประจำตัวที่มีอยู่ในบัญชี AWS

Palo Alto Networks ได้ออกคำเเนะนำให้ผู้ดูแลระบบทำการลบผู้ใช้ที่ไม่ได้ใช้งานออก ซึ่งจะทำให้ผู้โจมตีไม่สามารถคาดเดาชื่อผู้ใช้ได้โดยการเพิ่มสตริงแบบสุ่มใน log และ monitor identity authentication ทั้งนี้ผู้ดูแลระบบควรทำการเปิดใช้งาน Two-Factor authentication (2FA) ในการเข้าสู่ระบบเพื่อเป็นการป้องกันบัญชีผู้ใช้อีกทางหนึ่ง

ที่มา: securityweek.

Palo Alto Networks Security Advisories November 2020 Updates

Palo Alto Networks ประกาศ 5 ช่องโหว่ใหม่ใน PAN-OS

เมื่อกลางสัปดาห์ที่ผ่านมา Palo Alto Networks ประกาศแพตช์จำนวน 5 ช่องโหว่ให้แก่ PAN-OS โดยมี 3 ช่องโหว่ที่มีคะแนน CVSSv3 สูงกว่า 7 คะแนน ช่องโหว่ที่น่าสนใจมีดังต่อไปนี้

CVE-2020-2050: ช่องโหว่ Authentication bypass ในกระบวนการตรวจสอบใบอนุญาตของไคลเอนต์ GlobalProtect กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0 ช่องโหว่นี้สามารถโจมตีได้ผ่านทางเครือข่าย ทำได้ง่ายและผู้โจมตีไม่จำเป็นต้องระบุตัวตน
CVE-2020-2022: ช่องโหว่ Session disclosure ใน Panorama ระหว่างการเปลี่ยน context ไปเป็น managed device กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0
CVE-2020-2000: ช่องโหว่ OS command injection และ Memory corruption กระทบ PAN-OS ในรุ่น 8.1 ถึง 10.0

ช่องโหว่ทั้งหมดได้รับการแพตช์ออกมาเป็น minor version ใหม่ เช่น หากช่องโหว่กระทบ PAN-OS 10.0.0 แพตช์จะถูกปล่อยออกมาในเวอร์ชัน 10.0.1 ผู้ดูแลระบบสามารถตรวจสอบรายละเอียดของแพตช์และช่องโหว่ได้จากแหล่งที่มา

ที่มา: security.

Palo Alto Networks เข้าซื้อบริการ Attack Surface Management “Expanse” ในมูลค่า $800 ล้านเหรียญฯ

Palo Alto Networks ประกาศการเข้าซื้อ Expanse ซึ่งเป็นผู้ให้บริการด้าน Attack surface management เมื่อกลางสัปดาห์ที่ผ่านมาในมูลค่า 800 ล้านดอลลาร์สหรัฐฯ โดยแนวทางของการเข้าซื้อนั้นค่อนข้างชัดเจนว่าส่วนของจะเข้ามาเติมเต็มฟีเจอร์ของกลุ่มโปรดักส์ Cortex ซึ่ง Palo Alto Networks ให้บริการอยู่ในขณะนี้

แพลตฟอร์มของ Expanse นั้นให้บริการการค้นหาและเฝ้าระวังทรัพยากรขององค์กรในอินเตอร์เน็ต รวมไปถึงการเฝ้าระวังและแจ้งเตือนพฤติกรรมที่ผิดปกติสำหรับกลุ่มทรัพยากรที่ถือเป็น attack surface พร้อมทั้งประเมินความเสี่ยงให้

ที่มา: zdnet.

Emotet campaign used parked domains to deliver malware payloads

Emotet ออกแคมเปญใหม่ใช้ Parked Domain ในการส่งเพย์โหลดมัลแวร์ไปยังเครื่องที่ตกเป็นเหยื่อ

นักวิจัยด้านความปลอดภัยทีม Unit 42 จาก Palo Alto Networks ได้เปิดเผยถึงแคมเปญฟิชชิ่งใหม่จาก Emotet botnet ที่ได้ใช้ Parked domain ที่เป็นอันตรายเป็นฐานในการส่งเพย์โหลดเพื่อการแพร่กระจายของมัลแวร์, การแพร่กระจายของโปรแกรมที่อาจไม่พึงประสงค์ (Potentially Unwanted Program - PUP) และการหลอกลวงแบบฟิชชิง

พฤติกรรมดังกล่าวเกิดจากทีมนักวิจัยจาก Unit 42 ได้ตรวจพบโดเมนที่ถูกใช้ในการโจมตีคือ valleymedicalandsurgicalclinic [.] com ซึ่งได้รับการจดทะเบียนครั้งแรกเมื่อวันที่ 8 กรกฎาคม 2020 และได้ถูกตั้งค่าให้เป็น Parked domain แต่หลังจากวันที่ 14 กันยายนที่ผ่านมาโดเมนดังกล่าวถูกพบอีกครั้งเพื่อใช้ในการแพร่กระจายของมัลแวร์ Emotet ผ่านเอกสารที่แนบมากับอีเมลฟิชชิ่งมีสคริปต์มาโครที่เรียกกลับไปยังเซิร์ฟเวอร์ C&C ของผู้ประสงค์ร้าย ซึ่งเมื่อผู้ใช้ตกเป็นเหยื่อแล้ว มัลแวร์จะนำไปสู่การขโมยข้อมูล Credential และรวมถึงการยึดครองอุปกรณ์ของผู้ที่ตกเป็นเหยื่ออีกด้วย

ทีมนักวิจัยจาก Unit 42 กล่าวอีกว่าจากการตรวจสอบ Parked domain ที่ในปัจจุบันมีจำนวนกว่า 6 ล้าน โดเมนและพบว่ามี 1 % ของ Parked domain ถูกใช้ในแคมเปญมัลแวร์หรือฟิชชิงและถูกกำหนดเป้าหมายไปยังเหยื่อที่อาจเกิดขึ้นจากหลายประเทศทั่วโลกเช่น สหรัฐอเมริกา, สหราชอาณาจักร, ฝรั่งเศส,ญี่ปุ่น, เกาหลีและอิตาลี นอกจากนี้แคมเปญของ Emotet จะมุ่งเน้นไปที่ภาคอุตสาหกรรมต่างๆ ตั้งแต่ภาครัฐการศึกษา, พลังงาน, การผลิต, การก่อสร้างและโทรคมนาคม

ทั้งนี้ผู้ใช้ควรทำการตรวจสอบเอกสารที่แนบมากับอีเมลทุกครั้งก่อนทำการเปิดเพื่อเป็นการป้องกันการตกเป็นเหยื่อของมัลแวร์

ที่มา: bleepingcomputer

“Black-T” มัลแวร์ Crypto-mining พัฒนาความสามารถในการขโมยรหัสผ่านบนระบบ Linux

ทีมนักวิจัย Unit 42 จาก Palo Alto Networks ได้เผยถึงการพบเวิร์ม cryptojacking ที่มีชื่อว่า “Black-T” จากกลุ่ม TeamTNT ซึ่งเป็นกลุ่มที่รู้จักกันในการกำหนดเป้าหมายเพื่อโจมตี AWS จากนั้นทำการใช้ Monero (XMR) cryptocurrency โดยเวิร์มที่ถูกค้นพบนั้นได้ถูกพัฒนาใหม่ทั้งการเพิ่มความสามารถในการขโมยรหัสผ่านและเครื่องสแกนเครือข่ายเพื่อให้ง่ายต่อการแพร่กระจายไปยังอุปกรณ์ที่มีช่องโหว่อื่นๆ

จากรายงานของทีมนักวิจัย Unit 42 พบว่า TeamTNT ได้เพิ่มความสามารถของมัลแวร์ในการใช้เครื่องมือ zgrab ซึ่งเป็นเครื่องมือสแกนเครือข่ายชนิดเดียวกับ pnscan และ masscan ที่อยู่ภายใน Black-T อยู่แล้วทำการสแกนเป้าหมาย ทั้งนี้เครื่องมือสแกน masscan ที่ใช้โดย Black-T ก็ได้รับการอัปเดตเพื่อกำหนดเป้าหมายเป็นพอร์ต TCP 5555 ซึ่งอาจบอกเป็นนัยว่า TeamTnT อาจกำหนดเป้าหมายไปที่อุปกรณ์ Android นอกจากนี้ Black-T ยังได้เพิ่ม Mimikatz แบบโอเพนซอร์สสองตัวคือ mimipy (รองรับ Windows / Linux / macOS) และ mimipenguin (รองรับ Linux) ทำการอ่านข้อมูลรหัสแบบ plaintext ภายในหน่วยความจำของระบบที่ถูกบุกรุกและส่งไปยังเซิร์ฟเวอร์ C&C ของ TeamTNT

ด้วยการรวมเทคนิคและขั้นตอนทั้งหมดเข้าด้วยกัน TeamTNT สามารถใช้บ็อตเน็ตของเซิร์ฟเวอร์ที่ถูกบุกรุกเพื่อทำการสแกนหา Docker daemon API เพิ่มเติม ภายในเครือข่ายโดยใช้เครื่องมือ masscan, pnscan และ zgrab และเมื่อมัลแวร์สามารถบุกรุกแล้วได้จะทำการติดตั้ง Kubernetes และ Docker และหลังจากนั้นจะปรับใช้ payload binary ใน container เพื่อทำการเริ่มต้น Monero (XMR) cryptocurrency ภายในเครื่องที่บุกรุก

ทั้งนี้ผู้ดูแลระบบควรทำการตรวจสอบให้แน่ใจว่า Docker daemon API บนระบบคลาวด์ของท่านไม่ถูกเปิดเผยและสามารถเข้าถึงได้จากอินเตอร์เน็ตและเพื่อเป็นการป้องกันการตกเป็นเหยือของมัลแวร์ ผู้ดูแลระบบควรใช้ทำการติดตั้งและใช้งาน Next-Generation Firewall ในระบบของท่าน

ที่มา : bleepingcomputer

09/09: Palo Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS

Alto Network ออกเเพตซ์แก้ไขช่องโหว่ 9 รายการใน PAN-OS ช่องโหว่ถูกค้นพบและรายงานโดย Mikhail Klyuchnikov นักวิจัยจาก Positive Technologies ซึ่งช่องโหว่ที่ถูกเเก้ไขนั้นมีระดับความรุนเเรงจาก CVSS อยู่ที่ 3.3 - 9.8 ช่องโหว่ที่มีความสำคัญมีรายละเอียดดังนี้

CVE-2020-2040 (CVSS: 9.8) เป็นช่องโหว่ Buffer overflow ใน PAN-OS โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูท โดยการส่งคำขอที่เป็นอันตรายไปยัง Captive Portal หรืออินเทอร์เฟซ Multi-Factor Authentication ช่องโหว่นี้ได้โดยไม่ได้รับอนุญาตด้วยสิทธิ์ระดับรูทจะกระทบกับ PAN-OS 8.0 ทุกเวอร์ชัน, PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.15, PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9, PAN-OS 9.1 เวอร์ชันก่อนหน้า PAN-OS 9.1.3 โดยช่องโหว่นี้จะไม่ส่งผลกระทบกับ GlobalProtect VPN และ PAN-OS management web interfaces
CVE-2020-2036 (CVSS: 8.8) เป็นช่องโหว่ Cross-Site Scripting (XSS) ช่องโหว่อยู่ใน management web interfaces ช่องโหว่จะทำให้ผู้โจมตีจากระยะไกลที่ทำการหลอกผู้ดูแลระบบด้วยเซสชันที่ได้รับการพิสูจน์ตัวตนและใช้งานอยู่บน firewall management interface ให้ทำการคลิกลิงก์ที่สร้างขึ้นเป็นพิเศษโดยช่องโหว่จะทำให้สามารถเรียกใช้โค้ด JavaScript ได้โดยไม่ได้รับอนุญาตในเบราว์เซอร์ของผู้ดูแลระบบและผู้โจมตีจะสามารถดำเนินการในฐานะดูแลระบบได้ ช่องโหว่นี้มีผลกระทบกับ PAN-OS 8.1 เวอร์ชันก่อนหน้า PAN-OS 8.1.16 และ PAN-OS 9.0 เวอร์ชันก่อนหน้า PAN-OS 9.0.9
CVE-2020-2041 (CVSS: 7.5) เป็นช่องโหว่ Denial-of-service (DoS) ใน Management web interface ช่องโหว่จะทำให้ผู้ใช้ที่ไม่ได้รับการพิสูจน์ตัวตนจากระยะไกลสามารถส่งคำขอที่สร้างขึ้นโดยเฉพาะไปยังอุปกรณ์ที่ทำให้บริการ appweb ซึ่งเมื่อเกิดการส่งการร้องขอซ้ำหลายครั้งส่งผลใก้เกิด DoS ใน PAN-OS เซอร์วิสและจะทำให้อุปกรณ์เกิดการรีสตาร์ท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 8.0 และ PAN-OS 8.1 ทุกเวอร์ชันก่อนหน้า 8.1.16
CVE-2020-2037(CVSS: 7.2) และ CVE-2020-2038 (CVSS: 7.2) เป็นช่องโหว่ Command Injection ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีสามารถรันคำสั่งได้ด้วยสิทธิ์ของรูท ช่องโหว่จะกระทบกับ PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.10, PAN-OS 9.1 เวอร์ชันก่อนหน้า 9.1.4 และ PAN-OS 10.0 เวอร์ชันก่อนหน้า 10.0.1
CVE-2020-2042 (CVSS: 7.2) เป็นช่องโหว่ Buffer overflow ใน Management web interface ช่องโหว่จะทำให้ผู้โจมตีที่ได้รับการพิสูจน์ตัวตนสามารถขัดขวางกระบวนการของระบบและอาจเรียกใช้โค้ดโดยอำเภอใจด้วยสิทธิ์ระดับรูท ช่องโหว่นี้จะส่งผลกระทบกับ PAN-OS 10.0 เวอร์ชันก่อนหน้า PAN-OS 10.0.1
ทั้งนี้ผู้ดูแลระบบควรทำการอัปเดตเเพตซ์ของ PAN-OS ให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันผู้ประสงค์ร้ายใช้ประโยชน์จากช่องโหว่ทำการโจมตีระบบ

ที่มา: security.

Cyber Security Frameworks Workshop By I-SECURE

“การสร้างระบบความปลอดภัยทางด้านไซเบอร์ให้กับองค์กรควรจะเริ่มต้นอย่างไร

เริ่มต้นตรงจุดไหนเพื่อให้องค์กรของเรามีความปลอดภัยตามมาตรฐานสากล”

I-SECURE ร่วมกับ Palo Alto Networks และ Attivo Networks ขอเชิญทุกท่านเข้าร่วม Workshop Series การสร้างระบบความปลอดภัยทางด้านไซเบอร์ด้วย NIST Cybersecurity Frameworks และ CIS Controls ซึ่งเป็น Frameworks ที่ได้รับยอมรับและเป็นมาตรฐานสากล

พิเศษของที่ระลึกสำหรับ Early Bird 10 ท่านแรก

Palo Alto Networks แก้ไขช่องโหว่ CVE-2020-2034 บน PAN-OS

Palo Alto Networks (PAN) ได้กล่าวถึงช่องโหว่ที่รุนแรงอีกครั้งที่พบใน PAN-OS GlobalProtect portal และส่งผลกระทบต่ออุปกรณ์ Next generation firewall

CVE-2020-2034 เป็นช่องโหว่เกี่ยวกับ OS command injecton ทำให้ผู้โจมตีสามารถ Remote โดยไม่ผ่านการตรวจสอบสิทธิ์และสามารถรัน OS command โดยใช้สิทธิ์ root บนอุปกรณ์ที่ไม่ได้รับการอัปเดตแพตซ์ โดยช่องโหว่นี้สามารถทำได้ยากและมีความซับซ้อน ผู้โจมตีต้องการข้อมูลระดับหนึ่งเกี่ยวกับการกำหนดค่าไฟร์วอลล์ที่ได้รับผลกระทบ ช่องโหว่ CVE-2020-2034 ได้รับการจัดอันดับความรุนแรงสูงด้วยคะแนนฐาน CVSS 3.x ที่ Score 8.1

ช่องโหว่นี้มีผลกระทบกับอุปกรณ์ที่เปิดใช้งาน GlobalProtect portal เท่านั้น ช่องโหว่นี้ไม่สามารถเกิดขึ้นได้หากปิดการใช้งานฟีเจอร์นี้ ในขณะเดียวกันบริการ Prisma Access ไม่ได้รับผลกระทบจากช่องโหว่นี้

ช่องโหว่นี้ได้ถูกแก้ไขแล้ว โดยผู้ใช้ต้องอัปเดตแพทซ์ในเวอร์ชันที่มากกว่าหรือเท่ากับ PAN-OS 8.1.15, PAN-OS 9.0.9, PAN-OS 9.1.3 หรือเวอร์ชันที่ใหม่กว่าทั้งหมด ส่วน Version PAN-OS 7.1 และ PAN-OS 8.0 จะไม่ได้รับการแก้ไขสำหรับช่องโหว่นี้

ที่มา: bleepingcomputer

Palo Alto Network ออกเเพตซ์แก้ไขช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ในระบบปฏิบัติการ PAN-OS

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet

Iranian hackers have been hacking VPN servers to plant backdoors in companies around the world

แฮกเกอร์ชาวอิหร่านแฮกเซิร์ฟเวอร์ VPN เพื่อฝัง backdoors ในบริษัทต่างๆ ทั่วโลก
แฮกเกอร์ชาวอิหร่านมุ่งโจมตี VPN จาก Pulse Secure, Fortinet, Palo Alto Networks และ Citrix เพื่อแฮ็คเข้าสู่บริษัทขนาดใหญ่
ClearSky บริษัทรักษาความปลอดภัยไซเบอร์ของอิสราเอลออกรายงานใหม่ที่เผยให้เห็นว่ากลุ่มแฮกเกอร์ที่มีรัฐบาลอิหร่านหนุนหลังในปีที่เเล้วได้มุ่งเน้นให้ความสำคัญสูงในการเจาะช่องโหว่ VPN ทันทีที่มีข่าวช่องโหว่สู่สาธารณะเพื่อแทรกซึมและฝัง backdoors ในบริษัทต่างๆ ทั่วโลก โดยมุ่งเป้าหมายเป็นองค์กรด้านไอที, โทรคมนาคม, น้ำมันและก๊าซ, การบิน, รัฐบาล, และ Security
โดยบางการโจมตีเกิดขึ้น 1 ชั่วโมงหลังจากมีการเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ ซึ่งรายงานนี้ได้หักล้างแนวคิดที่ว่าแฮกเกอร์อิหร่านไม่ซับซ้อน และมีความสามารถน้อยกว่าประเทศคู่แข่งอย่างรัสเซีย จีน หรือเกาหลีเหนือ โดย ClearSky กล่าวว่ากลุ่ม APT ของอิหร่านได้พัฒนาขีดความสามารถด้านเทคนิคจนสามารถ exploit ช่องโหว่ 1-day (ช่องโหว่ที่ได้รับการแพตช์แล้วแต่องค์กรยังอัปเดตแพตช์ไม่ทั่วถึง) ในระยะเวลาอันสั้น ในบางกรณี ClearSky กล่าวว่าพบแฮกเกอร์อิหร่านทำการ exploit จากข้อบกพร่องของ VPN ภายในไม่กี่ชั่วโมงหลังจากข้อบกพร่องถูกเปิดเผยสู่สาธารณะ
ตามรายงานของ ClearSky ระบุวัตถุประสงค์ของการโจมตีเหล่านี้คือการละเมิดเครือข่ายองค์กร จากนั้นกระจายไปทั่วทั้งระบบภายในขององค์กรเเละฝัง backdoors เพื่อ exploit ในเวลาต่อมา
ในขั้นตอนที่ย้ายจากเครื่องหนึ่งไปจากอีกเครื่องหนึ่งในองค์กร (lateral movement) มีการใช้เครื่องมือแฮก open-sourced เช่น Juicy Potato เเละ Invoke the Hash รวมไปถึงการใช้ซอฟต์แวร์ดูแลระบบที่เหมือนกับผู้ดูแลระบบใช้งานปกติอย่าง Putty, Plink, Ngrok, Serveo หรือ FRP
นอกจากนี้ในกรณีที่แฮกเกอร์ไม่พบเครื่องมือ open-sourced หรือ local utilities ที่ช่วยสนับสนุนการโจมตีของพวกเขา พวกเขายังมีความรู้ในการพัฒนามัลเเวร์เองด้วย
อีกหนึ่งการเปิดเผยจากรายงานของ ClearSky คือกลุ่มอิหร่านก็ดูเหมือนจะทำงานร่วมกันเเละทำหน้าที่เป็นหนึ่งเดียวกันที่ไม่เคยเห็นมาก่อน ซึ่งในรายงานก่อนหน้านี้เกี่ยวกับกลุ่มอิหร่านมักจะมีลักษณะการทำงานที่ไม่เหมือนกันและแต่ละครั้งที่มีการโจมตีจะเป็นการทำงานเพียงกลุ่มเดียว
แต่การโจมตีเซิร์ฟเวอร์ VPN ทั่วโลกนั้นดูเหมือนจะเป็นผลงานการร่วมมือของกลุ่มอิหร่านอย่างน้อยสามกลุ่ม ได้แก่ APT33 (Elfin, Shamoon), APT34 (Oilrig) และ APT39 (Chafer)
ปัจจุบันวัตถุประสงค์ของการโจมตีเหล่านี้ดูเหมือนจะทำการ reconnaissance เเละ ฝัง backdoors สำหรับสอดแนม อย่างไรก็ตาม ClearSky กลัวว่าในอนาคตอาจมีการใช้ backdoor เหล่านี้เพื่อวางมัลแวร์ทำลายข้อมูลที่สามารถก่อวินาศกรรมต่อบริษัทได้ ทำลายเครือข่ายและการดำเนินธุรกิจ โดยสถานการณ์ดังกล่าวมีความเป็นไปได้มากหลักจากที่มีการพบมัลแวร์ทำลายข้อมูล ZeroCleare เเละ Dustman ซึ่งเป็น 2 สายพันธุ์ใหม่ในเดือนกันยายน 2019 และเชื่อมโยงกลับไปยังแฮกเกอร์ชาวอิหร่าน นอกจากนี้ ClearSky ก็ไม่ได้ปฏิเสธว่าแฮกเกอร์อิหร่านอาจ Exploit การเข้าถึงบริษัทเหล่านี้เพื่อโจมตีของลูกค้าพวกเขา
ClearSky เตือนว่าถึงแม้บริษัทจะอัปเดตเเพตช์เเก้ไขช่องโหว่เซิร์ฟเวอร์ VPN ไปแล้ว ก็ควรสแกนเครือข่ายภายในของพวกเขาสำหรับตรวจเช็คสัญญาณอันตรายต่างๆ ที่อาจบ่งบอกว่าได้ถูกแฮกไปแล้วด้วย
โดยสามารถตรวจสอบ indicators of compromise (IOCs) ได้จากรายงานฉบับดังกล่าวที่ https://www.