Advanced Persistent Threat (APT), que está asociada con el Ministerio de Inteligencia y Seguridad (MOIS) de Irán, está proporcionando servicios de acceso inicial a grupos de hackers estatales iraníes.
UNC1860 ha sido una puerta de entrada para ataques de grupos notorios como Scarred Manticore y OilRig (también conocidos como APT34, Helix Kitten, Cobalt Gypsym, Lyceum, Crambus y Siamesekitten). Como explicó Mandiant en una publicación de blog reciente, su objetivo es penetrar y afianzarse en redes potencialmente valiosas en sectores de alto valor como el gobierno, los medios de comunicación, el mundo académico, la infraestructura crítica y, especialmente, las telecomunicaciones. otros actores estatales iraníes.
A lo largo de los años, UNC1860 ha colaborado en ataques contra objetivos en Irak, Arabia Saudita y Qatar, ayudó a espiar a empresas de telecomunicaciones en Medio Oriente y sentó las bases para ataques con limpiaparabrisas en Albania e Israel.
Muchas puertas traseras en UNC1860
En marzo, la Autoridad Cibernética Nacional de Israel advirtió que los ataques de limpieza estaban afectando a organizaciones de todo el país, incluidos proveedores de servicios administrados, gobiernos locales e instituciones académicas. Según el informe de Mandiant, los indicadores de compromiso (IoC) incluían un shell web llamado “Stayshante” y un dropper llamado “Sasheyaway”, que forma parte de aproximadamente 30 malware personalizado administrado por UNC1860.
UNC1860 no realiza borrados ni otras acciones destructivas, disruptivas o de explotación en la red de destino. Su función es simplemente ganar un punto de apoyo inicial, principalmente escaneando los activos públicos de la organización objetivo en busca de vulnerabilidades y luego eliminando una serie de puertas traseras cada vez más severas y sofisticadas.
Stayshante, Sasheyaway y herramientas similares brindan un punto de apoyo inicial y pueden usarse para descargar puertas traseras más poderosas como “Templedoor”, “Faceface” y “Sparkload”. Para los objetivos de mayor valor, UNC1860 implementa las puertas traseras principales más sofisticadas, como “Templedrop” y “Oatboat”. Para ello, carga cargas útiles como “Tofupipe” y “Tofuload” y oyentes pasivos basados en TCP.
“Ni siquiera estamos aprovechando las llamadas API normales de Windows para configurar estos oyentes; en realidad estamos aprovechando una herramienta no documentada en HTTP.sys, lo cual es una locura”, dice Stav Shulman, investigador principal de Mandiant by Google Cloud.
“La mayoría de las puertas traseras utilizan llamadas API comunes y, por lo tanto, son detectadas por la mayoría de los motores”, explica Shulman. “Pero si está lo suficientemente decidido, es lo suficientemente inteligente y tiene un conocimiento técnico extraordinario, puede aprovechar las llamadas que no están documentadas en Microsoft Developer Network (MSDN). Se realizó ingeniería inversa e hizo que sus llamadas fueran indetectables”.
Trucos secretos para evitar descubrir UNC1860
Además de la falta de comportamiento destructivo, hay otra razón por la que a menudo escuchas sobre Scarred Manticore, Oil Rig y Shrouded Snooper, pero no sobre UNC1860. Todos los implantes UNC1860 son completamente pasivos. No se envía información desde la red de destino y no hay necesidad de mantener ningún tipo de infraestructura de comando y control (C2).
“La mayoría de los descubrimientos actuales se centran en las comunicaciones salientes, pero UNC1860 se centra únicamente en las solicitudes entrantes”, afirma Schulman. “El tráfico entrante que escucha UNC1860 puede provenir de una variedad de fuentes sigilosas, incluidos nodos VPN cerca del objetivo, víctimas de ataques anteriores y otras ubicaciones dentro de la red del objetivo”.
Por ejemplo, en 2020, el grupo utilizó la red de una de sus víctimas como punto de partida para buscar direcciones IP potencialmente vulnerables en Arabia Saudita y varias cuentas y direcciones de correo electrónico asociadas con el dominio saudí en Qatar. Verificamos que apuntaban a VPN. servidores en la misma región.
Y, como señala Schulman, “todo lo que se necesita para intensificar un ataque es enviar un único comando en cualquier punto para activar la puerta trasera”. Este grupo de implantes utiliza tráfico cifrado HTTPS, lo que impide que las víctimas descifren comandos y cargas útiles.
Schulman aconseja a las organizaciones centrarse en cómo inspeccionar mejor el tráfico de red entrante.
“¿Cómo detectamos[el tráfico malicioso]? ¿Cómo determinamos si el tráfico entrante es malicioso?”, preguntó Schulman. “Incluso si (UNC1860) está abusando de una llamada API documentada que detecta un motor de ciberseguridad, hay una gran cantidad de software legítimo que utiliza la misma llamada, lo que hace que sea muy difícil detectar llamadas maliciosas. Puede resultar confuso y dar lugar a muchas llamadas. falsos positivos. Creo que centrarse en el tráfico entrante es la clave para detectar la actividad UNC1860″.
https://www.darkreading.com/threat-intelligence/meet-unc1860-irans-access-broker-state-hackers
