Um ator de ameaça avançada persistente (APT) iraniano, provavelmente afiliado ao Ministério da Inteligência e Segurança (MOIS), agora atua como um facilitador de acesso inicial que fornece acesso remoto às redes alvo.
A Mandiant, empresa pertencente ao Google, está monitorando o agrupamento de atividades sob o apelido UNC1860, que, segundo a empresa, compartilha semelhanças com conjuntos de intrusões monitoradas por Microsoft, Cisco Talos e Check Point como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper e Scarred Manticore, respectivamente.
"Uma característica chave do UNC1860 é sua coleção de ferramentas especializadas e backdoors passivos que [...] suportam vários objetivos, incluindo seu papel como um provável provedor de acesso inicial e sua capacidade de obter acesso persistente a redes de alta prioridade, como aquelas no governo e espaço de telecomunicações em todo o Oriente Médio," afirmou a empresa.
O grupo veio à luz pela primeira vez em julho de 2022 em conexão com ataques cibernéticos destrutivos visando a Albânia com uma variante de ransomware chamada ROADSWEEP, o backdoor CHIMNEYSWEEP e uma variante de wiper chamada ZEROCLEAR (também conhecida como Cl Wiper), com intrusões subsequentes na Albânia e Israel aproveitando novos wipers apelidados de No-Justice e BiBi (também conhecido como BABYWIPER).
A Mandiant descreveu o UNC1860 como um "ator de ameaça formidável" que mantém um arsenal de backdoors passivos que são projetados para obter pontos de apoio nas redes das vítimas e estabelecer acesso de longo prazo sem chamar atenção.
Entre as ferramentas inclui dois controladores de malware operados por GUI rastreados como TEMPLEPLAY e VIROGREEN, que supostamente fornecem outros atores de ameaças associados ao MOIS com acesso remoto aos ambientes das vítimas usando o protocolo de desktop remoto (RDP).
Especificamente, esses controladores são projetados para fornecer a operadores terceirizados uma interface que oferece instruções sobre as maneiras como payloads personalizados podem ser implantadas e atividades pós-exploração, como varredura interna, podem ser realizadas dentro da rede alvo.
Mandiant disse que identificou sobreposições entre UNC1860 e APT34 (também conhecido como Hazel Sandstorm, Helix Kitten e OilRig) no sentido de que organizações comprometidas por este último em 2019 e 2020 foram anteriormente infiltradas por UNC1860, e vice-versa.
Além disso, ambos os agrupamentos foram observados mudando para alvos baseados no Iraque, como recentemente destacado pela Check Point.
As cadeias de ataque envolvem o aproveitamento de acesso inicial obtido pela exploração oportunista de servidores vulneráveis voltados para a internet para derrubar web shells e droppers como STAYSHANTE e SASHEYAWAY, com este último levando à execução de implantes, como TEMPLEDOOR, FACEFACE e SPARKLOAD, que estão embutidos dentro dele.
"VIROGREEN é uma estrutura personalizada usada para explorar servidores SharePoint vulneráveis com
CVE-2019-0604
," disseram os pesquisadores, acrescentando que ela controla STAYSHANTE, junto com um backdoor referido como BASEWALK.
A estrutura fornece capacidades pós-exploração incluindo [...] controlando payloads pós-exploração, backdoors (incluindo o web shell STAYSHANTE e o backdoor BASEWALK) e tarefa; controlando um agente compatível independentemente de como o agente foi implantado; e executando comandos e fazendo upload/download de arquivos.
TEMPLEPLAY (internamente chamado Client Http), por sua vez, serve como o controlador baseado em .NET para TEMPLEDOOR.
Ele suporta instruções de backdoor para executar comandos via cmd.exe, fazer upload/download de arquivos de e para o host infectado, e conexão proxy a um servidor alvo.
Acredita-se que o adversário possui uma coleção diversificada de ferramentas passivas e backdoors principais que se alinham com seus objetivos de acesso inicial, movimento lateral e coleta de informações.
Algumas das outras ferramentas notáveis documentadas pela Mandiant estão listadas abaixo - OATBOAT, um carregador que carrega e executa payloads de shellcode TOFUDRV, um driver do Windows malicioso que se sobrepõe ao WINTAPIX TOFULOAD, um implante passivo que emprega comandos de Controle de Entrada/Saída (Input/Output Control - IOCTL) não documentados para comunicação TEMPLEDROP, uma versão reaproveitada de um driver de filtro do sistema de arquivos do Windows de um software antivírus iraniano chamado Sheed AV que é usado para proteger os arquivos que ele implanta de modificação TEMPLELOCK, uma utilidade de evasão de defesa .NET que é capaz de matar o serviço de Log de Eventos do Windows TUNNELBOI, um controlador de rede capaz de estabelecer uma conexão com um host remoto e gerenciar conexões RDP
"À medida que as tensões continuam a aumentar e diminuir no Oriente Médio, acreditamos que a capacidade desse ator em obter acesso inicial a ambientes alvo representa um ativo valioso para o ecossistema cibernético iraniano que pode ser explorado para atender a objetivos evolutivos conforme as necessidades mudam," disseram os pesquisadores Stav Shulman, Matan Mimran, Sarah Bock e Mark Lechtik.
O desenvolvimento ocorre enquanto o governo dos EUA revelou tentativas contínuas de atores de ameaças iranianas de influenciar e minar as próximas eleições dos EUA roubando material não público da campanha do ex-Presidente Donald Trump.
"Atores cibernéticos maliciosos iranianos no final de junho e início de julho enviaram e-mails não solicitados para indivíduos então associados à campanha do Presidente Biden que continham um trecho retirado de material roubado, não público, da campanha do ex-Presidente Trump como texto nos e-mails," disse o governo.
Atualmente, não há informações indicando que esses destinatários responderam.
Além disso, atores cibernéticos maliciosos iranianos continuaram seus esforços desde junho para enviar material roubado, não público associado à campanha do ex-Presidente Trump para organizações de mídia dos EUA.
O aumento das operações cibernéticas do Irã contra seus rivais percebidos também ocorre em um momento em que o país tem se tornado cada vez mais ativo na região do Oriente Médio.
No final do mês passado, a Agência de Segurança de Infraestrutura e Cibersegurança dos EUA (CISA) advertiu que o APT iraniano Lemon Sandstorm (também conhecido como Fox Kitten) realizou ataques de ransomware se associando clandestinamente com grupos como NoEscape, RansomHouse e BlackCat (também conhecido como ALPHV).
A análise da Censys da infraestrutura de ataque do grupo de hackers desde então descobriu outros hosts atualmente ativos que provavelmente fazem parte dele com base em comunalidades com base em geolocalização, Números de Sistema Autônomo (ASNs) e padrões idênticos de portas e certificados digitais.
"Apesar das tentativas de ofuscação, desvio e aleatoriedade, os humanos ainda devem instanciar, operar e descomissionar a infraestrutura digital," disse Matt Lembright da Censys.
Esses humanos, mesmo que dependam da tecnologia para criar randomização, quase sempre seguirão algum tipo de padrão, seja ele Sistemas Autônomos similares, geolocalizações, provedores de hospedagem, distribuições de portas ou características de certificados.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...