Hackers iranianos estão invadindo organizações críticas de infraestrutura para coletar credenciais e dados de rede que podem ser vendidos em fóruns cibercriminosos para possibilitar ataques cibernéticos por outros agentes de ameaças.
Agências governamentais nos EUA, Canadá e Austrália acreditam que hackers iranianos estão atuando como corretores de acesso inicial e usam técnicas de força bruta para ganhar acesso a organizações nos setores de saúde e saúde pública (HPH), governo, tecnologia da informação, engenharia e energia.
Um aviso publicado pela Agência de Defesa Cibernética dos Estados Unidos (CISA) descreve a atividade e os métodos mais recentes que os hackers iranianos usaram para comprometer redes e coletar dados que forneceriam pontos adicionais de acesso.
O alerta é coautorizado pelo Federal Bureau of Investigation (FBI), CISA, National Security Agency (NSA), Communications Security Establishment Canada (CSE), Australian Federal Police (AFP) e Australian Signals Directorate’s Australian Cyber Security Centre (ASD’s ACSC).
Após a fase de reconhecimento, os agentes de ameaças visam obter acesso persistente à rede alvo, muitas vezes utilizando técnicas de força bruta.
Atividades subsequentes incluem a coleta de mais credenciais, elevação de privilégios e aprendizagem sobre os sistemas comprometidos e a rede, o que lhes permite mover-se lateralmente e identificar outros pontos de acesso e exploração.
As agências governamentais não descobriram todos os métodos usados nesses ataques, mas determinaram que, em alguns, os hackers usam password spraying para acessar contas válidas de usuários e grupos.
Outro método observado foi a fadiga de MFA (push bombing), onde cibercriminosos bombardeiam o celular de um alvo com solicitações de acesso para sobrecarregar o usuário até que este aprove a tentativa de login, seja por acidente ou apenas para parar as notificações.
De acordo com o aviso, hackers iranianos também usaram alguns métodos que ainda precisam ser determinados para obter acesso inicial aos ambientes Microsoft 365, Azure e Citrix.
Uma vez que eles conseguem acesso a uma conta, os agentes de ameaças normalmente tentam registrar seus dispositivos no sistema de MFA da organização.
A movimentação pela rede era feita via Remote Desktop Protocol (RDP), às vezes implantando os binários necessários usando PowerShell aberto através do Microsoft Word.
Não está claro como os hackers iranianos coletam credenciais adicionais, mas acredita-se que este passo é feito com a ajuda de ferramentas de código aberto para roubar tickets Kerberos ou para recuperar contas do Active Directory.
Para elevar privilégios no sistema, as agências governamentais disseram que os hackers tentaram se passar pelo controlador de domínio “provavelmente explorando a vulnerabilidade de escalada de privilégios da Netlogon da Microsoft (também conhecida como ”Zerologon”) (
CVE-2020-1472
).”
Nos ataques analisados, o agente de ameaças dependia das ferramentas disponíveis no sistema (living off the land) para reunir detalhes sobre controladores de domínio, domínios confiáveis, listas de administradores, administradores da empresa, computadores na rede, suas descrições e sistemas operacionais.
Em um aviso separado em agosto, o governo dos EUA alertou sobre um agente de ameaças baseado no Irã, acredita-se que patrocinado pelo estado, envolvido na obtenção de acesso inicial a redes pertencentes a várias organizações nos EUA.
O agente de ameaças usou o alias Br0k3r e o nome de usuário 'xplfinder' nos canais de comunicação.
Eles forneceram "privilégios de controle total de domínio, bem como credenciais de administrador de domínio, para inúmeras redes em todo o mundo", observa o relatório.
Br0k3r, conhecido no setor privado como Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM e Lemon Sandstorm, colaborou com afiliados de ransomware para receber uma porcentagem dos pagamentos de resgate das organizações comprometidas (por exemplo, escolas, governos municipais, instituições financeiras e instalações de saúde).
O aviso conjunto recomenda que as organizações revisem os logs de autenticação para tentativas de login falhas em contas válidas e expandam a busca para várias contas.
Se um agente de ameaças aproveitar credenciais comprometidas em infraestruturas virtuais, as organizações devem procurar pelos chamados 'logins impossíveis' com nomes de usuários, agentes de usuário ou endereços IP alterados que não correspondem à localização geográfica típica do usuário.
Outro sinal de uma tentativa de intrusão potencial é o uso do mesmo IP para várias contas ou o uso de IPs de diferentes localizações com uma frequência que não permitiria ao usuário percorrer a distância.
Adicionalmente, as agências recomendam:
-procurar por registros de MFA com MFA em locais inesperados ou de dispositivos desconhecidos
-procurar por processos e execução de programas com argumentos de linha de comando que possam -indicar dumping de credenciais, especialmente tentativas de acessar ou copiar o arquivo ntds.dit de um controlador de domínio
-verificar o uso suspeito de conta privilegiada após redefinir senhas ou aplicar mitigação de conta de usuário
-investigar atividades incomuns em contas tipicamente inativas
-varrer em busca de strings de agentes de usuário incomuns, como strings não tipicamente associadas à atividade normal do usuário, o que pode indicar atividade de bot
O aviso conjunto também fornece um conjunto de mitigações que melhorariam a postura de segurança de uma organização contra as táticas, técnicas e procedimentos (TTPs) observados na atividade dos hackers iranianos.
Um conjunto de indicadores de comprometimento, incluindo hashes para arquivos maliciosos, endereços IP e dispositivos usados nos ataques estão disponíveis no aviso.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...