Agências de inteligência e segurança cibernética dos EUA denunciaram um grupo de hackers iraniano por violar diversas organizações no país e coordenar com afiliados para distribuir ransomware.
A atividade foi vinculada a um agente de ameaça chamado Pioneer Kitten, também conhecido como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite e UNC757, que foi descrito como conectado ao governo do Irã e usa uma empresa iraniana de tecnologia da informação (TI), Danesh Novin Sahand, provavelmente como disfarce.
“Suas operações cibernéticas maliciosas visam implantar ataques de ransomware para obter e desenvolver acesso à rede”, disseram a Cybersecurity and Infrastructure Safety Company (CISA), o Federal Bureau of Investigation (FBI) e o Division of Protection Cyber Crime Heart (DC3). “Essas operações auxiliam os ciberatores mal-intencionados a colaborar ainda mais com os afiliados para continuar implantando o ransomware.”
Os alvos dos ataques incluem os setores de educação, finanças, saúde e defesa, bem como entidades governamentais locais nos EUA, com intrusões também relatadas em Israel, Azerbaijão e Emirados Árabes Unidos (EAU) para roubar dados confidenciais.
O objetivo, avaliaram as agências, é ganhar uma posição inicial nas redes de vítimas e, posteriormente, colaborar com agentes afiliados de ransomware associados a NoEscape, RansomHouse e BlackCat (também conhecido como ALPHV) para implantar malware de criptografia de arquivos em troca de uma parte dos lucros ilícitos, mantendo sua nacionalidade e origem “intencionalmente vagas”.
Acredita-se que as tentativas de ataque tenham começado em 2017 e estejam em andamento até este mês. Os agentes da ameaça, que também atendem pelos apelidos on-line Br0k3r e xplfinder, foram descobertos monetizando seu acesso a organizações de vítimas em mercados clandestinos, ressaltando tentativas de diversificar seus fluxos de receita.
“Uma porcentagem significativa da atividade cibernética do grupo focada nos EUA é para promover a obtenção e manutenção de acesso técnico às redes das vítimas para permitir futuros ataques de ransomware”, observaram as agências. “Os atores oferecem privilégios de controle de domínio completo, bem como credenciais de administrador de domínio, para várias redes em todo o mundo.”
“O envolvimento dos cibercriminosos iranianos nesses ataques de ransomware vai além de fornecer acesso; eles trabalham em estreita colaboração com afiliados de ransomware para bloquear redes de vítimas e elaborar estratégias para extorquir vítimas.”
O acesso inicial é obtido aproveitando serviços externos remotos em ativos voltados para a Web que são vulneráveis a falhas divulgadas anteriormente (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 e CVE-2024-24919), seguido por uma série de etapas para persistir, escalar privilégios e configurar o acesso remoto por meio de ferramentas como AnyDesk ou a ferramenta de tunelamento Ligolo de código aberto.
As operações de ransomware patrocinadas pelo estado iraniano não são um fenômeno novo. Em dezembro de 2020, as empresas de segurança cibernética Test Level e ClearSky detalharam uma campanha de hack-and-leak da Pioneer Kitten chamada Pay2Key que destacou especificamente dezenas de empresas israelenses explorando vulnerabilidades de segurança conhecidas.
“O resgate em si variou entre sete e nove Bitcoins (com alguns casos em que o invasor foi negociado para três Bitcoins)”, observou a empresa na época. “Para pressionar as vítimas a pagar, o web site de vazamento da Pay2Key exibe informações confidenciais roubadas das organizações-alvo e faz ameaças de novos vazamentos se as vítimas continuarem a atrasar os pagamentos.”
Alguns dos ataques de ransomware também teriam sido conduzidos por uma empresa contratada iraniana chamada Emennet Pasargad, de acordo com documentos vazados pelo Lab Dookhtegan no início de 2021.
A divulgação retrata o cenário de um grupo flexível que opera com motivos tanto de ransomware quanto de espionagem cibernética, juntando-se a outros grupos de hackers de dupla finalidade, como ChamelGang e Moonstone Sleet.
Peach Sandstorm entrega malware Tickler em campanha de longa duração
O desenvolvimento ocorre no momento em que a Microsoft disse ter observado o agente de ameaças patrocinado pelo estado iraniano Peach Sandstorm (também conhecido como APT33, Curious Serpens, Elfin e Refined Kitten) implantando um novo backdoor personalizado de vários estágios, conhecido como Tickler, em ataques contra alvos nos setores de satélite, equipamentos de comunicação, petróleo e gás, bem como nos setores do governo federal e estadual nos EUA e Emirados Árabes Unidos entre abril e julho de 2024.
“O Peach Sandstorm também continuou conduzindo ataques de pulverização de senhas contra o setor educacional para aquisição de infraestrutura e contra os setores de satélite, governo e defesa como alvos principais para coleta de inteligência”, disse a gigante da tecnologia, acrescentando que detectou coleta de inteligência e possível engenharia social visando setores de ensino superior, satélite e defesa through LinkedIn.
Esses esforços na plataforma de networking profissional, que datam de pelo menos novembro de 2021 e continuaram até meados de 2024, se materializaram na forma de perfis falsos disfarçados de estudantes, desenvolvedores e gerentes de aquisição de talentos supostamente baseados nos EUA e na Europa Ocidental.
Os ataques de pulverização de senhas servem como um canal para o backdoor multiestágio personalizado do Tickler, que vem com recursos para baixar cargas úteis adicionais de uma infraestrutura do Microsoft Azure controlada pelo adversário, executar operações de arquivo e coletar informações do sistema.
Alguns dos ataques são notáveis por aproveitar instantâneos do Lively Listing (AD) para ações administrativas maliciosas, Server Message Block (SMB) para movimentação lateral e o software program de monitoramento e gerenciamento remoto (RMM) AnyDesk para acesso remoto persistente.
“A conveniência e a utilidade de uma ferramenta como o AnyDesk são amplificadas pelo fato de que ela pode ser permitida por controles de aplicativos em ambientes onde é usada legitimamente por pessoal de suporte de TI ou administradores de sistema”, disse a Microsoft.
Peach Sandstorm é avaliado como operando em nome do Corpo da Guarda Revolucionária Islâmica Iraniana (IRGC). Sabe-se que ele está ativo há mais de uma década, realizando ataques de espionagem contra uma gama diversificada de alvos dos setores público e privado globalmente. Intrusões recentes visando o setor de defesa também implantaram outro backdoor chamado FalseFont.
Operação de contra-inteligência iraniana usa iscas de RH para coletar informações
Em evidência das operações iranianas em constante expansão no ciberespaço, a Mandiant, de propriedade do Google, disse ter descoberto uma suposta operação de contrainteligência com vínculo com o Irã, cujo objetivo é coletar dados sobre iranianos e ameaças domésticas que podem estar colaborando com seus supostos adversários, incluindo Israel.
“Os dados coletados podem ser alavancados para descobrir operações de inteligência humana (HUMINT) conduzidas contra o Irã e para perseguir quaisquer iranianos suspeitos de estarem envolvidos nessas operações”, disseram os pesquisadores da Mandiant Ofir Rozmann, Asli Koksal e Sarah Bock. “Isso pode incluir dissidentes iranianos, ativistas, defensores dos direitos humanos e falantes de farsi que vivem dentro e fora do Irã.”
A atividade, disse a empresa, compartilha “sobreposição fraca” com o APT42 e se alinha com o histórico do IRGC de conduzir operações de vigilância contra ameaças domésticas e indivíduos de interesse do governo iraniano. A campanha está ativa desde 2022.
A espinha dorsal do ciclo de vida do ataque é uma rede de mais de 40 websites falsos de recrutamento que se passam por empresas israelenses de recursos humanos e são então disseminados por meio de canais de mídia social como X e Virasty para enganar possíveis vítimas e fazê-las compartilhar suas informações pessoais (por exemplo, nome, knowledge de nascimento, e-mail, endereço residencial, educação e experiência profissional).
Esses websites falsos, que se passam por Optima HR e Kandovan HR, declaram que seu suposto propósito é “recrutar funcionários e oficiais das organizações de inteligência e segurança do Irã” e têm identificadores do Telegram que fazem referência a Israel (IL) em seus identificadores (por exemplo, PhantomIL13 e obterDmIL).
Mandian disse ainda que uma análise mais aprofundada dos websites de RH da Optima levou à descoberta de um grupo anterior de websites de recrutamento falsos que tinham como alvo falantes de farsi e árabe afiliados à Síria e ao Líbano (Hezbollah) sob uma empresa de RH diferente chamada VIP Human Options entre 2018 e 2022.
“A campanha lança uma rede ampla ao operar em várias plataformas de mídia social para disseminar sua rede de websites falsos de RH em uma tentativa de expor indivíduos que falam farsi e que podem estar trabalhando com agências de inteligência e segurança e, portanto, são vistos como uma ameaça ao regime do Irã”, disse a Mandiant.