Um agente iraniano de ameaça persistente avançada (APT), provavelmente afiliado ao Ministério de Inteligência e Segurança (MOIS), agora está atuando como um facilitador de acesso inicial que fornece acesso remoto às redes alvo.
A Mandiant, de propriedade do Google, está rastreando o cluster de atividades sob o apelido UNC1860que segundo ele compartilha semelhanças com conjuntos de intrusão rastreados pela Microsoft, Cisco Talos e Test Level como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper e Scarred Manticore, respectivamente.
“Uma característica basic do UNC1860 é sua coleção de ferramentas especializadas e backdoors passivos que (…) dão suporte a vários objetivos, incluindo seu papel como um provável provedor de acesso inicial e sua capacidade de obter acesso persistente a redes de alta prioridade, como aquelas no setor governamental e de telecomunicações em todo o Oriente Médio”, disse a empresa.
O grupo apareceu pela primeira vez em julho de 2022 em conexão com ataques cibernéticos destrutivos direcionados à Albânia com uma cepa de ransomware chamada ROADSWEEP, o backdoor CHIMNEYSWEEP e uma variante do limpador ZEROCLEAR (também conhecido como Cl Wiper), com intrusões subsequentes na Albânia e em Israel aproveitando novos limpadores chamados No-Justice e BiBi (também conhecido como BABYWIPER).
A Mandiant descreveu o UNC1860 como um “formidável agente de ameaça” que mantém um arsenal de backdoors passivos projetados para obter pontos de apoio nas redes das vítimas e configurar acesso de longo prazo sem atrair atenção.
Entre essas ferramentas estão dois controladores de malware operados por GUI rastreados como TEMPLEPLAY e VIROGREEN, que supostamente fornecem a outros agentes de ameaças associados ao MOIS acesso remoto aos ambientes das vítimas usando o protocolo de área de trabalho remota (RDP).
Especificamente, esses controladores são projetados para fornecer aos operadores terceirizados uma interface que oferece instruções sobre as maneiras como cargas úteis personalizadas podem ser implantadas e atividades pós-exploração, como varredura interna, podem ser realizadas na rede de destino.
A Mandiant disse que identificou sobreposições entre UNC1860 e APT34 (também conhecido como Hazel Sandstorm, Helix Kitten e OilRig) em que organizações comprometidas pelo último em 2019 e 2020 foram previamente infiltradas pelo UNC1860, e vice-versa. Além disso, ambos os clusters foram observados se voltando para alvos baseados no Iraque, conforme destacado recentemente pela Test Level.
As cadeias de ataque envolvem o aproveitamento do acesso inicial obtido pela exploração oportunista de servidores vulneráveis voltados para a Web para instalar shells e droppers da net como STAYSHANTE e SASHEYAWAY, com este último levando à execução de implantes, como TEMPLEDOOR, FACEFACE e SPARKLOAD, que estão incorporados a ele.
“VIROGREEN é uma estrutura personalizada usada para explorar servidores SharePoint vulneráveis com CVE-2019-0604”, disseram os pesquisadores, acrescentando que ela controla o STAYSHANTE, junto com um backdoor chamado BASEWALK.
“A estrutura fornece recursos de pós-exploração, incluindo (…) controle de cargas úteis de pós-exploração, backdoors (incluindo o net shell STAYSHANTE e o backdoor BASEWALK) e tarefas; controle de um agente compatível, independentemente de como o agente foi implantado; e execução de comandos e add/obtain de arquivos.
TEMPLEPLAY (internamente chamado Shopper Http), por sua vez, serve como controlador baseado em .NET para TEMPLEDOOR. Ele suporta instruções backdoor para executar comandos through cmd.exe, carregar/baixar arquivos de e para o host infectado e conexão proxy para um servidor alvo.
Acredita-se que o adversário tenha em sua posse um conjunto diversificado de ferramentas passivas e backdoors de palco principal que se alinham com seus objetivos de acesso inicial, movimentação lateral e coleta de informações.
Algumas das outras ferramentas importantes documentadas pela Mandiant estão listadas abaixo –
- OATBOAT, um carregador que carrega e executa cargas úteis de shellcode
- TOFUDRV, um driver malicioso do Home windows que se sobrepõe ao WINTAPIX
- TOFULOAD, um implante passivo que emprega comandos de controle de entrada/saída (IOCTL) não documentados para comunicação
- TEMPLEDROP, uma versão reaproveitada de um driver de filtro de sistema de arquivos do Home windows de software program antivírus iraniano chamado Sheed AV, usado para proteger os arquivos que ele implanta contra modificações
- TEMPLELOCK, um utilitário de evasão de defesa .NET capaz de matar o serviço de Log de Eventos do Home windows
- TUNNELBOI, um controlador de rede capaz de estabelecer uma conexão com um host remoto e gerenciar conexões RDP
“À medida que as tensões continuam a aumentar e diminuir no Oriente Médio, acreditamos que a habilidade desse ator em obter acesso inicial aos ambientes alvo representa um recurso valioso para o ecossistema cibernético iraniano, que pode ser explorado para responder a objetivos em evolução conforme as necessidades mudam”, disseram os pesquisadores Stav Shulman, Matan Mimran, Sarah Bock e Mark Lechtik.
O desenvolvimento ocorre no momento em que o governo dos EUA revelou as tentativas contínuas de agentes de ameaças iranianos de influenciar e minar as próximas eleições dos EUA, roubando materials não público da campanha do ex-presidente Donald Trump.
“No ultimate de junho e início de julho, ciberatores iranianos maliciosos enviaram e-mails não solicitados a indivíduos então associados à campanha do presidente Biden que continham um trecho retirado de materials roubado e não público da campanha do ex-presidente Trump como texto nos e-mails”, disse o governo.
“Atualmente, não há informações indicando que esses destinatários responderam. Além disso, cibercriminosos iranianos continuam seus esforços desde junho para enviar materials roubado e não público associado à campanha do ex-presidente Trump para organizações de mídia dos EUA.”
A intensificação das operações cibernéticas do Irã contra seus supostos rivais também ocorre em um momento em que o país se tornou cada vez mais ativo na região do Oriente Médio.
No ultimate do mês passado, a Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) alertou que o APT iraniano Lemon Sandstorm (também conhecido como Fox Kitten) realizou ataques de ransomware em parceria clandestina com as equipes NoEscape, RansomHouse e BlackCat (também conhecido como ALPHV).
A análise da Censys sobre a infraestrutura de ataque do grupo de hackers revelou outros hosts atualmente ativos que provavelmente fazem parte dela com base em semelhanças baseadas em geolocalização, Números de Sistema Autônomo (ASNs) e padrões idênticos de portas e certificados digitais.
“Apesar das tentativas de ofuscação, desvio e aleatoriedade, os humanos ainda precisam instanciar, operar e desativar a infraestrutura digital”, disse Matt Lembright, da Censys.
“Esses humanos, mesmo que dependam da tecnologia para criar aleatoriedade, quase sempre seguirão algum tipo de padrão, sejam eles Sistemas Autônomos semelhantes, geolocalizações, provedores de hospedagem, software program, distribuições de portas ou características de certificados.”
