CanisterWiper蠕虫通过配置不当的云存储攻击伊朗目标
一个犯罪团伙利用配置不当的云存储传播并销毁数据,向伊朗实体部署了具有自我传播能力的CanisterWiper恶意软件。
一个以经济利益为动机的网络犯罪团伙通过向伊朗机构部署一种新型、可自我传播的擦除恶意软件,介入了持续的地缘政治冲突。与此同时,另一个与伊朗结盟的威胁行为体宣称对一家西方大型医疗技术公司实施了破坏性攻击。这波针对伊朗实体和美国公司的双重数据破坏行动,凸显了犯罪活动与国家背景网络行动之间日益模糊的界限——地缘政治紧张局势为恶意活动创造了新的机会和掩护。犯罪团伙方面主要的威胁是一种名为 CanisterWorm 的蠕虫,其设计目的是通过配置不当的云存储进行传播,并销毁具有特定伊朗属性系统上的数据。
CanisterWorm 如何通过云存储传播并触发其擦除功能
据研究人员称,CanisterWorm 攻击活动始于威胁行为体扫描公开暴露且安全性薄弱的云存储服务,例如 Redis 实例。攻击者利用这些配置错误获取初始立足点。一旦获得访问权限,他们便会部署一个作为自我复制蠕虫的恶意二进制文件。该蠕虫被设计为持续扫描其他易受攻击的云服务,自主地在网络和基础设施中传播,其方式让人联想到 WannaCry 等历史蠕虫,但具有更具针对性的破坏性负载。
该蠕虫最终的破坏性行为是有条件的,并显示出对伊朗目标的明确关注。在执行数据擦除功能之前,恶意软件会对受感染主机进行检查。它会寻找两个特定指标:系统时区是否设置为伊朗标准时间(IRST),以及波斯语是否安装为默认系统语言。只有同时满足这两个条件,蠕虫才会激活其擦除组件。该组件旨在用随机数据覆盖文件和目录,使其无法恢复,并试图通过针对特定文件和配置来破坏系统恢复功能,从而瘫痪操作系统。这种条件逻辑表明,犯罪行为人试图在地理上控制其破坏范围,同时仍要完成其破坏性议程——可能是受雇行事,或是为了在混乱的网络环境中牟利。
双重影响:犯罪擦除软件瞄准伊朗,黑客活动分子攻击医疗技术
这些并行攻击活动的影响重大且多面。CanisterWorm 行动直接威胁到伊朗境内依赖云服务的机构。其蠕虫特性意味着,在互联环境中,一次初始感染可能导致跨多个系统和网络的广泛、连锁数据丢失,造成严重的运营中断。攻击者的动机似乎是经济利益和黑客主义的混合;除了擦除器,该团伙还进行了数据盗窃和勒索,威胁除非支付赎金,否则将泄露窃取的信息。
在一次看似相关但独立的攻击中,一个名为 Soldiers of Solomon 的亲伊朗黑客活动组织声称对总部位于密歇根州的财富500强医疗技术公司 Stryker 发动了数据擦除攻击。来自爱尔兰(Stryker 的主要运营中心所在地)的报告显示,该公司经历了严重的 IT 中断和业务运营干扰。虽然此次攻击的技术细节尚不明确,但一个与伊朗情报机构有联系的组织公开宣称负责,标志着攻击目标的升级。攻击一家大型医疗技术公司跨越了网络冲突中通常默认的界限,即医疗保健和医疗服务因其可能造成现实世界伤害而常被视为禁区。
这两起事件——针对伊朗的犯罪蠕虫和针对美国医疗公司的伊朗支持型擦除软件——在时间和性质上交织,构成了复杂的威胁格局。这引发了报复性循环的可能性,或将犯罪活动用作国家背景行动的代理或伪装。对于防御者而言,关键要点是:破坏性恶意软件的威胁现在既来自利用地缘政治掩护的复杂犯罪行为人,也来自愿意针对关键民用基础设施的老牌国家背景组织。
CanisterWorm 的检测指南与入侵指标
防御 CanisterWorm 威胁需要采取多层方法,重点关注配置卫生、网络监控和端点检测。初始感染媒介取决于安全性薄弱的云服务。因此,主要的防御行动是审计并强化所有面向互联网的服务,确保它们不处于默认或公开可写状态。具体而言,Redis 和类似的数据存储系统应置于防火墙之后、要求身份验证,并关闭所有非必要的网络端口。
网络防御者应监控来自自身基础设施内部的异常扫描活动,因为蠕虫会寻找新的云服务目标。来自非服务器工作站的、与 Redis(6379 端口)或其他数据库服务相关的异常出站连接,可能是入侵的指标。在端点上,安全团队应留意试图读取系统区域设置和时区设置、随后立即进行激进文件系统覆盖操作的进程。
虽然此次攻击活动的具体文件哈希值和域名会不断变化,但行为检测规则更具持久性。安全工具应配置为对以下行为发出警报:
- 执行系统语言/时区检查,然后立即开始枚举并写入大量文件的进程。
- 尝试禁用卷影副本或其他备份恢复功能,这是擦除恶意软件的常见策略。
- 在临时目录或云存储挂载点创建或执行可疑的二进制文件。
各组织,特别是那些在与地缘政治冲突相关地区有业务或联系的组织,还应考虑在关键目录中部署[诱饵文件](canary files),以便在文件被意外修改或删除时触发警报。有关分析擦除恶意软件的更多信息,请查阅我们关于[恶意软件分析技术](malware analysis techniques)的指南。
关键要点 —— 总结防御者应采取行动的 3-5 个要点
- 立即强化面向互联网的云服务: 紧急审计所有可公开访问的云存储、数据库和管理界面(如 Redis、AWS S3 存储桶、Azure Blob 存储)。确保它们不使用默认凭据,按照最小权限原则配置,并且除非绝对必要,否则不向整个互联网暴露。这一步即可阻断 CanisterWorm 的主要感染媒介。
- 针对擦除活动实施行为检测: 除了基于特征的检测,还应部署端点和网络监控规则,以查找擦除软件的行为序列:系统侦察(检查区域/时间),随后进行大规模文件系统写入或删除,以及尝试禁用备份或恢复机制。这有助于捕获新型或更新的擦除软件变种。
- 为破坏性攻击制定隔离和恢复协议: 假设破坏性攻击可能发生。确保维护稳健、离线且不可变的备份,并定期测试。制定明确的事件响应计划,包括快速隔离受感染网段以防止类似 CanisterWorm 的蠕虫式传播。
- 在地缘政治紧张时期提高警惕: 在公开的地缘政治冲突期间,各组织——特别是医疗、能源和技术等关键领域的组织——应意识到来自国家背景行为体和 opportunistic 犯罪行为人风险增加。应监控威胁情报源,关注相关对手组织的声明和战术。
