Un actor iraní de amenazas persistentes avanzadas (APT, por sus siglas en inglés) probablemente afiliado al Ministerio de Inteligencia y Seguridad (MOIS, por sus siglas en inglés) está actuando ahora como un facilitador de acceso inicial que proporciona acceso remoto a las redes objetivo.
Mandiant, propiedad de Google, sigue al grupo empresarial bajo el nombre UNC1860que, según él, comparte similitudes con conjuntos de intrusiones rastreados por Microsoft, Cisco Talos y Check Point bajo los nombres Storm-0861 (anteriormente DEV-0861), ShroudedSnooper y Scarred Manticore, respectivamente.
“Una característica clave del UNC1860 es su colección de herramientas especializadas y puertas traseras pasivas que […] «Respalda varios objetivos, incluido su papel como probable proveedor de acceso inicial y su capacidad para obtener acceso permanente a redes de alta prioridad, como las del gobierno y el espacio de las telecomunicaciones en todo Medio Oriente», dijo la compañía. dicho.
El grupo surgió por primera vez en julio de 2022 como parte de ciberataques destructivos dirigidos a Albania con una cepa de ransomware llamada ROADSWEEP, la puerta trasera CHIMNEYSWEEP y una variante de limpiaparabrisas ZEROCLEAR (también conocida como Cl Wiper), con intrusiones posteriores en Albania e Israel explotando nuevos limpiaparabrisas denominados No-Justice. y BiBi (también conocida como BABYWIPER).
Mandiant describió a UNC1860 como un «actor de amenazas formidable» que mantiene un arsenal de puertas traseras pasivas diseñadas para obtener puntos de acceso a las redes de las víctimas y establecer acceso a largo plazo sin llamar la atención.
Entre las herramientas se encuentran dos controladores de malware operados por GUI, llamados TEMPLEPLAY y VIROGREEN, que proporcionarían a otros actores de amenazas asociados con MOIS acceso remoto a los entornos de las víctimas utilizando el protocolo de escritorio remoto (RDP).
Específicamente, estos controladores están diseñados para proporcionar a los operadores externos una interfaz que ofrece instrucciones sobre cómo se pueden implementar cargas útiles personalizadas y cómo se pueden realizar actividades posteriores a la explotación, como el análisis interno, dentro de la red de destino.
Mandiant dijo que identificó superposiciones entre UNC1860 y APT34 (también conocido como Hazel Sandstorm, Helix Kitten y OilRig), ya que las organizaciones comprometidas por este último en 2019 y 2020 habían sido infiltradas previamente por UNC1860, y viceversa. Además, se ha observado que ambos grupos giran hacia objetivos con base en Irak, como destacó recientemente Check Point.
Las cadenas de ataques implican explotar el acceso inicial obtenido mediante la explotación oportunista de servidores de Internet vulnerables para lanzar shells web y droppers como STAYSHANTE y SASHEYAWAY, este último conduce a la ejecución de implantes, como TEMPLEDOOR, FACEFACE y SPARKLOAD, que están integrados en él.
«VIROGREEN es un marco personalizado utilizado para explotar servidores SharePoint vulnerables con CVE-2019-0604«, dijeron los investigadores, y agregaron que controla STAYSHANTE, así como una puerta trasera llamada BASEWALK.
“El marco proporciona capacidades posteriores a la explotación, incluidas […] controlar las cargas útiles posteriores a la explotación, las puertas traseras (incluido el shell web STAYSHANTE y la puerta trasera BASEWALK) y las tareas; controlar un agente compatible independientemente de cómo se implantó el agente; y ejecutar comandos y cargar/descargar archivos.
TEMPLEPLAY (llamado internamente Http Client), por otro lado, sirve como controlador basado en .NET para TEMPLEDOOR. Admite instrucciones de puerta trasera para ejecutar comandos a través de cmd.exe, descargar archivos hacia y desde el host infectado y enviar proxy a un servidor de destino.
Se cree que el adversario posee una colección diversa de herramientas pasivas y puertas traseras que coinciden con sus objetivos de acceso inicial, movimiento lateral y recopilación de información.
Algunas de las otras herramientas notables documentadas por Mandiant se enumeran a continuación:
- OATBOAT, un cargador que carga y ejecuta cargas útiles de shellcode
- TOFUDRV, un controlador malicioso de Windows que se superpone con WINTAPIX
- TOFULOAD, un implante pasivo que utiliza comandos de control de entrada/salida no documentados (IOCTL) para la comunicación
- TEMPLEDROP, una versión reutilizada de un controlador de filtro del sistema de archivos de Windows del software antivirus iraní llamado Sheed AV que se utiliza para proteger los archivos que implementa contra modificaciones.
- TEMPLELOCK, una utilidad de evasión de defensa .NET capaz de acabar con el servicio de registro de eventos de Windows
- TUNNELBOI, un controlador de red capaz de establecer una conexión con un host remoto y gestionar conexiones RDP
«A medida que las tensiones continúan aumentando y disminuyendo en Medio Oriente, creemos que la capacidad de este actor para obtener acceso inicial a los entornos objetivo representa un activo valioso para el ecosistema cibernético de Irán que puede aprovecharse para responder a objetivos en constante evolución a medida que evolucionan las necesidades», dijeron los investigadores. Stav Shulman, Matan Mimran, Sarah Bock y Mark Lechtik.
Este acontecimiento se produce cuando el gobierno de Estados Unidos reveló continuos intentos de actores de amenazas iraníes para influir y socavar las próximas elecciones estadounidenses mediante el robo de materiales no públicos de la campaña del expresidente Donald Trump.
«Los ciberactores maliciosos iraníes enviaron correos electrónicos no solicitados a finales de junio y principios de julio a personas entonces asociadas con la campaña del presidente Biden que contenían un extracto de documentos no públicos robados de la campaña del ex presidente Trump en forma de texto en correos electrónicos», dijo el gobierno. . dicho.
“Actualmente no hay información de que los destinatarios hayan respondido. Además, los ciberdelincuentes iraníes han continuado sus esfuerzos desde junio para enviar materiales privados y robados asociados con la campaña del expresidente Trump a los medios de comunicación estadounidenses. »
La intensificación de las operaciones cibernéticas de Irán contra sus supuestos rivales también llega en un momento en que el país se está volviendo cada vez más activo en la región de Medio Oriente.
A finales del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) advirtió que la APT Lemon Sandstorm iraní (también conocida como Fox Kitten) había llevado a cabo ataques de ransomware al asociarse clandestinamente con los grupos NoEscape, RansomHouse y BlackCat (también conocido como ALPHV).
Desde entonces, el análisis de Censys de la infraestructura de ataque del grupo de hackers ha revelado otros hosts actualmente activos que probablemente formen parte de ella debido a puntos en común basados en la geolocalización, números de sistemas autónomos (ASN) y modelos idénticos de puertos y certificados digitales.
«A pesar de los intentos de ofuscación, desvío y aleatoriedad, los humanos todavía necesitan crear instancias, operar y desmantelar la infraestructura digital», dijo Matt Lembright de Censys. dicho.
“Estos humanos, incluso si dependen de la tecnología para crear aleatorización, casi siempre seguirán algún tipo de patrón, ya sean sistemas autónomos, geolocalizaciones, proveedores de alojamiento, software, distribuciones de puertos o características de certificados similares. »
