Hackers Vinculados ao Irã UNC1549 visam os setores de Aeroespacial e Defesa do Oriente Médio
29 de Fevereiro de 2024

Um ator ameaçador ligado ao Irã, conhecido como UNC1549, foi atribuído com média confiança a um novo conjunto de ataques direcionados às indústrias aeroespacial, aviação e defesa no Oriente Médio, incluindo Israel e os EAU.

Outros alvos da atividade de espionagem cibernética provavelmente incluem Turquia, Índia e Albânia, segundo a Mandiant, de propriedade do Google, em uma nova análise.

UNC1549 é dito para se sobrepor com Smoke Sandstorm (anteriormente Bohrium) e Crimson Sandstorm (anteriormente Curium), este último é um grupo afiliado ao Corpo da Guarda Revolucionária Islâmica (IRGC), também conhecido como Imperial Kitten, TA456, Tortoiseshell e Yellow Liderc.

"Esta suspeita atividade UNC1549 tem estado ativa desde pelo menos junho de 2022 e ainda está em andamento em fevereiro de 2024", disse a empresa.

"Embora seja regional e focada principalmente no Oriente Médio, o alvo inclui entidades que operam em todo o mundo."

Os ataques envolvem o uso da infraestrutura de nuvem Microsoft Azure para comando e controle (C2) e engenharia social envolvendo iscas relacionadas a trabalho para entregar dois backdoors chamados MINIBIKE e MINIBUS.

Os e-mails de spear-phishing são projetados para disseminar links para websites falsos contendo conteúdo relacionado a Israel-Hamas ou ofertas de trabalho falsas, resultando na implantação de uma payload maliciosa.

Também são observadas páginas de login falsas que imitam grandes empresas para colher credenciais.

Os backdoors personalizados, após estabelecerem acesso C2, atuam como um conduto para coleta de inteligência e para mais acesso à rede alvo.

Outra ferramenta implantada nesta fase é um software de tunelamento chamado LIGHTRAIL que se comunica usando a nuvem Azure.

Enquanto MINIBIKE é baseado em C++ e capaz de exfiltração e upload de arquivo, e execução de comando, MINIBUS serve como um "sucessor mais robusto" com recursos de reconhecimento aprimorados.

"A inteligência coletada nessas entidades é relevante para os interesses estratégicos do Irã e pode ser utilizada para espionagem e também para operações cinéticas", disse a Mandiant.

"Os métodos de evasão implantados nesta campanha, a saber, as iscas temáticas de trabalho personalizadas combinadas com o uso de infraestrutura de nuvem para C2, podem tornar desafiador para os defensores de rede prevenir, detectar e mitigar esta atividade."

A CrowdStrike, em seu Relatório Global de Ameaças para 2024, descreveu como "faketivistas associados a adversários ligados ao estado iraniano e hacktivistas se auto-intitulando 'pró-palestinos' focaram em atacar infraestrutura crítica, sistemas de alerta de projéteis aéreos israelenses, e atividades destinadas a operações de informação em 2023."

Isso inclui Banished Kitten, que lançou o malware BiBi wiper, e Vengeful Kitten, um pseudônimo para Moses Staff que reivindicou atividade de limpeza de dados contra mais de 20 sistemas de controle industrial (ICS) de empresas em Israel.

Dito isto, adversários ligados ao Hamas têm estado notavelmente ausentes da atividade relacionada ao conflito, algo que a empresa de segurança cibernética atribuiu a prováveis interrupções de energia e internet na região.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...