Grupos de ameaça ligados à espionagem, com origem suspeita no Irã, têm sido identificados utilizando backdoors como TWOSTROKE e DEEPROOT em ataques contínuos contra os setores aeroespacial, de aviação e defesa no Oriente Médio.
Segundo a empresa de segurança Mandiant, controlada pelo Google, essas ações são atribuídas ao grupo rastreado como UNC1549, também conhecido como Nimbus Manticore ou Subtle Snail.
A ameaça foi documentada pela empresa de inteligência em cibersegurança no início de 2023.
De acordo com os pesquisadores Mohamed El-Banna, Daniel Lee, Mike Stokkel e Josh Goddard, "entre o final de 2023 e 2025, o UNC1549 utilizou vetores sofisticados de acesso inicial, incluindo o abuso de relacionamentos com terceiros para entrada (pivotando de prestadores de serviço para seus clientes), escapadas de ambientes VDI de terceiros e campanhas altamente segmentadas de spear-phishing relevantes por função".
A revelação acontece cerca de dois meses após a empresa suíça PRODAFT vincular o grupo a uma campanha que atingiu empresas europeias de telecomunicações, comprometendo 11 organizações por meio de ataques de engenharia social focados em recrutamento via LinkedIn.
As cadeias de infecção identificadas pelo Google combinam campanhas de phishing para roubo de credenciais ou distribuição de malware com a exploração de relações de confiança com fornecedores e parceiros terceirizados.
Essa segunda tática revela uma estratégia especialmente sofisticada ao visar contratantes da defesa.
Embora essas organizações geralmente possuam defesas robustas, seus parceiros podem representar o elo vulnerável na cadeia de suprimentos.
O UNC1549 explora essa fragilidade ao acessar inicialmente uma entidade conectada para, em seguida, infiltrar seus verdadeiros alvos.
Normalmente, isso envolve o uso indevido de credenciais associadas a serviços como Citrix, VMWare e Azure Virtual Desktop and Application (VDA), obtidas dessas entidades externas para estabelecer a presença inicial.
Depois, os atacantes escapam das sessões virtualizadas para acessar o sistema host e promover movimentos laterais dentro da rede.
Outra via de acesso inicial consiste no envio de e-mails de spear-phishing relacionados a oportunidades de emprego, com links falsos que induzem o download de malware.
O grupo também mira equipes de TI e administradores para obter credenciais privilegiadas, garantindo acesso mais profundo ao ambiente.
Após a penetração, as ações de pós-exploração envolvem reconhecimento, coleta de credenciais, movimentação lateral, técnicas para escapar de defesas e roubo de informações, incluindo documentação de rede e TI, propriedade intelectual e e-mails.
Entre as ferramentas customizadas identificadas estão:
- MINIBIKE (SlugResin): backdoor em C++ que coleta informações do sistema, obtém payloads adicionais, realiza reconhecimento, captura teclas e conteúdo da área de transferência, rouba credenciais do Microsoft Outlook, coleta dados de navegadores como Chrome, Brave e Edge e realiza capturas de tela.
- TWOSTROKE: backdoor em C++ que permite coleta de informações, carregamento de DLLs, manipulação de arquivos e persistência.
- DEEPROOT: backdoor para Linux em Golang, com suporte à execução de comandos shell, enumeração do sistema e operações de arquivo.
- LIGHTRAIL: túnel customizado provavelmente baseado no Lastenzug, proxy Socks4a open-source que comunica por meio da infraestrutura cloud da Azure.
- GHOSTLINE: túnel Windows em Golang que utiliza domínio hard-coded para comunicação.
- POLLBLEND: túnel Windows em C++ que utiliza servidores de comando e controle (C2) hard-coded para registro e download de configurações.
- DCSYNCER.SLICK: utilitário Windows baseado no DCSyncer para executar ataques DCSync e escalonamento de privilégios.
- CRASHPAD: utilitário Windows em C++ para extrair credenciais salvas em navegadores web.
- SIGHTGRAB: utilitário Windows em C que captura screenshots periodicamente e as salva em disco.
- TRUSTTRAP: malware que exibe uma janela falsa do Windows solicitando credenciais da conta Microsoft.
Além dessas ferramentas, o grupo utiliza programas públicos como AD Explorer para consultas no Active Directory; Atelier Web Remote Commander (AWRC) para conexões remotas, reconhecimento, roubo de credenciais e implantação de malware; e SCCMVNC para controle remoto.
Também foram constatadas ações para dificultar investigações, como a exclusão de chaves de registro relacionadas ao histórico de conexões RDP.
Segundo a Mandiant, "a campanha do UNC1549 se destaca por antecipar ações dos investigadores e garantir persistência de longo prazo mesmo após a detecção".
Eles implantam backdoors que se comunicam discretamente por meses, ativando-os apenas para recuperar o acesso após tentativas de remoção pelas vítimas.
"O grupo mantém sigilo e controle por meio de extensos túneis reversos SSH, que reduzem evidências forenses, e utiliza domínios que imitam estrategicamente o setor da vítima", completam os pesquisadores.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...