Иранская группировка в 2020 произвела вмешательство в электронное голосование на выборах президента США.
Как сообщает ФБР группировка использует VPN-сервисы для сокрытия своих активностей, среди которых: Nord VPN, CyberGhost, TorGuard and Private Internet Access.
Для взлома и закрепления группировка использует поиск распространенных уязвимостей и эксплуатирует их. Однако прежде чем приступить к эксплуатации уязвимостей, хакеры производят разведку собирая всевозможные данные о программном обеспечении, чтобы облегчить эксплуатацию уязвимостей в дальнейшем. Группировка неоднократно проявляла интерес к следующему программному обеспечению:
- WordPress
- Drupal
- Apache Tomcat
- Ckeditor and Fckeditor
Для проникновения члены Emennet использовали опенсорсные решения, такие как:
- DefenseCode Web Security Scanner
- Wappalyzer
- DnsDumpster
- Tiny mce scanner
- Netsparker
- WordPress security scanner (wpscan)
- Shodan (куда без него).
Среди рекомендаций ФБР по противостоянию, в целом все стандартно:
- Своевременное обновление ПО;
- Средства антивирусной защиты со свежими базами сигнатур;
- Настроенные Web Application Firewall;
- Наблюдение за выходом новых CVE и патчинг;
- Отключение удаленного доступа(по возможности), запрет на исполнение файлов в определенных директориях, ограничение на вход;
- Просмотр логов журнала Security устройств.
Среди уязвимостей, чаще всего в ход идут следующие:
CVE-2019-0232
CVE-2017-5963
CVE-2018-7600
CVE-2018- 1000001
CVE-2014-0160
CVE 2019-9546
CVE-2016-10033
CVE-2009-1151
CVE-2017-5930
CVE-2019-0708
CVE-2017-0213
CVE-2018-8639
CVE-2017-14723
CVE-2017-8295
CVE-2017-14726
CVE-2017-5611
CVE-2019-0044
CVE-2019-9621
Наиболее распространённые и опасные уязвимости
здесь.