Un actor de amenazas iraní ha intensificado su espionaje contra entidades gubernamentales en los estados del Golfo, particularmente aquellos en los Emiratos Árabes Unidos (EAU).
APT34 (también conocido como Earth Simnavaz, OilRig, MuddyWater, Crambus, Europium, Hazel Sandstorm) es un grupo que anteriormente estuvo vinculado al Ministerio de Inteligencia y Seguridad de Irán (MOIVO). Es conocido por espiar. objetivos de alto valor en las principales industrias en todo Medio Oriente: petróleo y gas; finanzas; productos químicos; telecomunicaciones; otras formas de infraestructura crítica; y gobiernos. Sus ataques demostraron una sofisticación digna de sus objetivos, con paquetes de malware personalizados y la capacidad de evadir la detección durante largos períodos de tiempo.
Recientemente, Trend Micro observó una “aumento notable” del espionaje APT34 y el robo de información confidencial de agencias gubernamentales, incluso en los Emiratos Árabes Unidos. Estos casos más recientes introdujeron una nueva puerta trasera, «StealHook», que utiliza servidores Microsoft Exchange para filtrar credenciales útiles para escalar privilegios y posteriores ataques a la cadena de suministro.
Última actividad de APT34
Los recientes ataques APT34 comenzaron con el despliegue de web shells en servidores web vulnerables. Estos web shells permiten a los atacantes ejecutar código PowerShell y cargar o descargar archivos hacia o desde el servidor comprometido.
Una de las herramientas que descarga, por ejemplo, es ngrok, un software de proxy inverso legítimo para crear túneles seguros entre máquinas locales e Internet en general. APT34 utiliza ngrok como medio de comando y control (C2) que atraviesa firewalls y otras barricadas de seguridad de la red, facilitando su camino hacia el controlador de dominio de una red.
«Uno de los exploits más impresionantes que hemos observado en APT34 es su capacidad para crear y perfeccionar canales de exfiltración sigilosos que les permiten robar datos de redes sensibles de alto nivel», señala Sergey Shykevich, líder del Grupo de Inteligencia de Amenazas de Check Point Research. . , quien recientemente descubrió un Campaña de espionaje APT34 contra ministerios del gobierno iraquí. En sus campañas anteriores, el grupo aseguró principalmente sus comunicaciones C2 a través de túneles DNS y cuentas de correo electrónico comprometidas.
Para obtener mayores privilegios en máquinas infectadas, APT34 explota CVE-2024-30088. Descubierto a través de Trend Micro Zero Day Initiative (ZDI) y parcheado en junio, CVE-2024-30088 permite a los atacantes obtener privilegios a nivel de sistema en Windows. Afecta a varias versiones de Windows 10 y 11, así como a Windows Server 2016, 2019 y 2022, y recibió una calificación de gravedad «alta» de 7 sobre 10 en el Sistema de puntuación de vulnerabilidad común (CVSS). Esta calificación habría sido más alta si no fuera por el hecho de que requiere acceso local a un sistema y no es fácil de operar.
Sin embargo, el mejor truco de APT34 es su técnica para abusar de los filtros de contraseña de Windows.
Windows permite a las organizaciones implementar políticas de seguridad de contraseñas personalizadas, por ejemplo, para garantizar una buena higiene entre los usuarios. APT34 coloca una DLL maliciosa en el directorio del sistema de Windows y la registra como un filtro de contraseña legítimo. De esta manera, si un usuario cambia su contraseña (una buena práctica de ciberseguridad que se debe hacer con frecuencia), el filtro malicioso de APT34 la detectará en texto sin formato.
Para llevar a cabo su ataque, APT34 utiliza su nueva puerta trasera, StealHook. StealHook recupera las credenciales de dominio que le permiten acceder a los servidores Microsoft Exchange de una organización. Utilizando los servidores de la organización objetivo y las cuentas de correo electrónico robadas, la puerta trasera ahora puede filtrar credenciales robadas y otros datos gubernamentales confidenciales a través de archivos adjuntos de correo electrónico.
Riesgos tras los ataques APT34
«La técnica de abusar de Exchange para la filtración de datos y C&C es muy eficaz y difícil de detectar», afirma Mohamed Fahmy, investigador de amenazas cibernéticas de Trend Micro. «Se ha utilizado durante años en [APT34’s] Karkoff es una puerta trasera y la mayor parte del tiempo escapa a la detección. »
Además de extraer credenciales de cuentas confidenciales y otros datos gubernamentales, también se sabe que APT34 explota este nivel de acceso en una organización para llevar a cabo ataques posteriores contra otras personas conectadas a ella.
Desde hace algún tiempo, explica Fahmy, el actor de amenazas «comprometió completamente a una organización específica y luego utilizó sus servidores para lanzar un nuevo ataque contra otra organización (que tenía una relación de confianza con la infectada). puede explotar Exchange para enviar correos electrónicos de phishing.
Añade que las agencias gubernamentales en particular suelen tener relaciones estrechas entre sí, «por lo que el actor de la amenaza podría comprometer esta confianza«.
