Los piratas informáticos iraníes están pirateando organizaciones de infraestructura crítica para recopilar credenciales y datos de red que pueden venderse en foros de ciberdelincuentes para permitir ataques cibernéticos por parte de otros actores maliciosos.
Las agencias gubernamentales de Estados Unidos, Canadá y Australia creen que los piratas informáticos iraníes están actuando como intermediarios de acceso inicial y utilizando técnicas de fuerza bruta para obtener acceso a organizaciones de los sectores de atención médica y salud pública (HPH), gobierno, tecnología de la información, ingeniería y energía. . sectores.
Corredor de acceso iraní
Un aviso publicado por la Agencia de Defensa Cibernética de EE. UU. (CISA) describe las últimas actividades y métodos utilizados por los piratas informáticos iraníes para comprometer redes y recopilar datos que proporcionarían puntos de acceso adicionales.
La alerta es coautora de la Oficina Federal de Investigaciones (FBI), CISA, la Agencia de Seguridad Nacional (NSA), el Establecimiento de Seguridad de las Comunicaciones de Canadá (CSE), la Policía Federal Australiana (AFP) y la Agencia Cibernética Australiana. de la Dirección de Señales de Australia. Centro de Seguridad (ASD ACSC).
«Desde octubre de 2023, los actores iraníes han utilizado la fuerza bruta, como la pulverización de contraseñas y el bombardeo push de autenticación multifactor (MFA), para comprometer las cuentas de los usuarios y obtener acceso a las organizaciones». dictamen conjunto sobre ciberseguridad
Después de la fase de reconocimiento, los actores maliciosos intentan obtener acceso persistente a la red objetivo, a menudo utilizando técnicas de fuerza bruta.
La actividad de seguimiento incluye recopilar más credenciales, escalar privilegios y saber qué sistemas y redes están vulnerados, lo que les permite moverse lateralmente e identificar otros puntos de acceso y operación.
Las agencias gubernamentales no han descubierto todos los métodos utilizados en tales ataques, pero han determinado que en algunos, los piratas informáticos utilizan la pulverización de contraseñas para obtener acceso a cuentas válidas de usuarios y grupos.
Otro método observado es la fatiga MFA (push bombing), en la que los ciberdelincuentes bombardean el teléfono móvil de un objetivo con solicitudes de acceso para abrumar al usuario hasta que apruebe el intento de inicio de sesión, ya sea por accidente o simplemente para detener las notificaciones.
Según el aviso, los piratas informáticos iraníes también utilizaron algunos métodos aún por determinar para obtener acceso inicial a los entornos Microsoft 365, Azure y Citrix.
Una vez que obtienen acceso a una cuenta, los delincuentes suelen intentar registrar sus dispositivos en el sistema MFA de la organización.
En dos compromisos confirmados, los actores aprovecharon el registro abierto de un usuario comprometido para MFA para grabar el propio dispositivo del actor y obtener acceso al entorno.
En otro compromiso confirmado, los actores utilizaron una herramienta de autoservicio de restablecimiento de contraseñas (SSPR) combinada con una utilidad de Servicio de federación de Active Directory (ADFS) para restablecer cuentas con contraseñas vencidas, luego MFA se registró a través de Okta para cuentas comprometidas sin MFA ya habilitado. .
Moverse a través de la red se realizó a través del Protocolo de escritorio remoto (RDP), y a veces implementó los archivos binarios necesarios usando PowerShell abierto a través de Microsoft Word.
No está claro cómo los piratas informáticos iraníes recopilan credenciales adicionales, pero se cree que este paso se realiza utilizando herramientas de código abierto para robar tickets de Kerberos o hacerse cargo de cuentas de Active Directory.
Para elevar los privilegios en el sistema, las agencias gubernamentales dijeron que los piratas informáticos intentaron hacerse pasar por el controlador de dominio «probablemente explotando la vulnerabilidad de escalada de privilegios Netlogon de Microsoft (también conocida como » Zerologon») (CVE-2020-1472).
En los ataques analizados, el actor de amenazas se basó en las herramientas disponibles en el sistema (que viven de la tierra) para recopilar detalles sobre controladores de dominio, dominios confiables, listas de administradores, administradores de negocios, computadoras de la red, sus descripciones y sistemas operativos. .
en un separado consultivo En agosto, el gobierno de Estados Unidos advirtió sobre un presunto actor de amenazas patrocinado por el Estado con base en Irán involucrado en obtener el primer acceso a redes pertenecientes a varias organizaciones en Estados Unidos.
El actor de amenazas utilizó el alias Br0k3r y el nombre de usuario “xplfinder” en los canales de comunicación. Proporcionaron “privilegios completos de control de dominio, así como credenciales de administrador de dominio, a muchas redes en todo el mundo”, señala el informe.
Br0k3r, conocido en el sector privado como Pioneer Kitten, Fox Kitten, UNC757, Parisite, RUBIDIUM y Lemon Sandstorm, trabajó con afiliados de ransomware para recibir un porcentaje de los pagos de rescate de organizaciones comprometidas (por ejemplo, escuelas, administraciones municipales, instituciones financieras y de salud). establecimientos).
Detección de fuerza bruta
El aviso conjunto recomienda que las organizaciones examinen los registros de autenticación en busca de inicios de sesión fallidos en cuentas válidas y amplíen la búsqueda a varias cuentas.
Si un actor de amenazas está explotando credenciales comprometidas en infraestructuras virtuales, las organizaciones deben buscar los llamados «inicios de sesión imposibles» con nombres de usuario, agentes de usuario o direcciones IP alterados que no coinciden con la ubicación geográfica típica del usuario.
Otro signo de un posible intento de intrusión es el uso de la misma dirección IP para varias cuentas o el uso de direcciones IP de diferentes ubicaciones con una frecuencia que no permitiría al usuario navegar a una distancia determinada.
Además, las agencias recomiendan:
- encontrar registros MFA con MFA en lugares inesperados o desde dispositivos desconocidos
- buscar procesos y argumentos de línea de comando de ejecución de programas que puedan indicar volcado de credenciales, particularmente intentos de acceder o copiar el archivo ntds.dit desde un controlador de dominio
- comprobar si hay uso sospechoso de una cuenta privilegiada después de restablecer contraseñas o aplicar mitigaciones de cuenta de usuario
- investigar actividad inusual en cuentas típicamente inactivas
- buscar cadenas de agentes de usuario inusuales, como cadenas que normalmente no están asociadas con la actividad normal del usuario, lo que puede indicar actividad del bot
El aviso conjunto también proporciona un conjunto de medidas de mitigación que mejorarían la postura de seguridad de una organización contra tácticas, técnicas y procedimientos (TTP) observados durante la actividad de los piratas informáticos iraníes.
Un conjunto de indicadores de compromiso, incluidos hashes de archivos maliciosos, direcciones IP y dispositivos utilizados en los ataques, están disponibles en el consultivo.
