Un actor iraní de Amenaza Persistente Avanzada (APT) que se cree que está asociado con el Ministerio de Inteligencia y Seguridad (MOIS) de Irán está actuando actualmente como facilitador de acceso inicial, proporcionando acceso remoto a las redes objetivo.
Mandiant, una empresa de Google, está rastreando este grupo de actividad bajo el nombre UNC1860, que según la compañía ha sido identificado por Microsoft, Cisco Talos y Check Point como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper y Scarred Manticore. respectivamente. Dicen que hay similitudes con el conjunto de intrusiones que están rastreando.
“Las características principales de UNC1860 son una colección de herramientas especializadas y puertas traseras pasivas… que sirven como proveedores de acceso inicial y acceso persistente a redes de alta prioridad, como los sectores gubernamentales y de telecomunicaciones en todo el Medio Oriente. “Apoyamos varios objetivos, incluida la capacidad. para obtener acceso”, dijo la empresa.
El grupo salió a la luz por primera vez en julio de 2022 en relación con un devastador ciberataque dirigido a Albania utilizando un ransomware llamado ROADSWEEP, la puerta trasera CHIMNEYSWEEP y la variante de limpiaparabrisas ZEROCLEAR (también conocida como Cl Wiper). Luego utilizó No-Justice y un nuevo limpiador llamado BiBi (también conocido como BABYWIPER) para invadir Albania e Israel.
Mandiant describe a UNC1860 como un “terrible actor de amenazas” que mantiene un arsenal de puertas traseras pasivas diseñadas para afianzarse en las redes de las víctimas y establecer acceso a largo plazo sin llamar la atención de los estados que lo están haciendo.
Estas herramientas incluyen dos controladores de malware operados por GUI rastreados como TEMPLEPLAY y VIROGREEN, que utilizan el Protocolo de escritorio remoto (RDP) para dirigir a las víctimas a otros actores de amenazas relacionados con MOIS. Se dice que brindan acceso remoto al entorno.
Específicamente, estos controladores están diseñados para proporcionar a los operadores externos una interfaz que brinde instrucciones sobre cómo implementar cargas útiles personalizadas y realizar actividades posteriores a la explotación, como el escaneo interno dentro de la red de destino.
Mandiant dijo que había visto una superposición entre UNC1860 y APT34 (también conocida como Hazel Sandstorm, Helix Kitten y OilRig), y señaló que las organizaciones comprometidas por este último en 2019 y 2020 habían sido comprometidas previamente por UNC1860, y que dijo que lo mismo es cierto. viceversa. Además, como señaló recientemente Checkpoint, se ha observado que ambos grupos se están redirigiendo hacia objetivos con base en Irak.
La cadena de ataque aprovecha el acceso inicial obtenido mediante la explotación oportunista de servidores vulnerables conectados a Internet para lanzar shells web y droppers como STAYSHANTE y SASHEYAWAY, el último de los cuales contiene TEMPLEDOOR integrado. Conduce a la implementación de implantes como FACEFACE y SPARKLOAD.
“VIROGREEN es un marco personalizado utilizado para explotar servidores SharePoint vulnerables CVE-2019-0604”, dijeron los investigadores, y agregaron que controla STAYSHANTE junto con una puerta trasera llamada BASEWALK.
“Este marco proporciona (…) control sobre las cargas útiles posteriores a la explotación, las puertas traseras (incluido el shell web STAYSHANTE y la puerta trasera BASEWALK) y las tareas, y un agente compatible, independientemente de cómo esté integrado el agente. Proporciona funcionalidad posterior a la explotación, incluida control sobre archivos, ejecución de comandos y carga/descarga de archivos”.
TEMPLEPLAY (llamado internamente Client Http), por otro lado, actúa como un controlador basado en .NET para TEMPLEDOOR. Admite instrucciones de puerta trasera para ejecutar comandos a través de cmd.exe, cargar/descargar archivos hacia/desde hosts infectados y conexiones proxy a servidores de destino.
Se cree que los atacantes poseen una variedad de herramientas pasivas y puertas traseras principales consistentes con sus objetivos de acceso inicial, movimiento lateral y recopilación de información.
Estas son algunas de las otras herramientas notables que Mandiant ha registrado:
OATBOAT es un cargador que carga y ejecuta cargas útiles de shellcode. TOFUDRV es un controlador de Windows malicioso que se superpone con WINTAPIX. TOFULOAD es un implante pasivo que utiliza comandos de control de entrada/salida no documentados (IOCTL) para la comunicación. TEMPLEDROP es una reutilización de Sheed AV, un controlador de filtro del sistema de archivos de Windows antivirus iraní que se utiliza para proteger los archivos implementados contra modificaciones. TEMPLELOCK es una utilidad de evasión de defensa de .NET que puede eliminar el servicio de registro de eventos de Windows. TUNNELBOI es un controlador de red que puede establecer conexiones con hosts remotos y administrar conexiones RDP.
“A medida que las tensiones aumentan y disminuyen en el Medio Oriente, la capacidad de este adversario para obtener acceso inicial al entorno de un objetivo es un activo valioso para el ecosistema cibernético de Irán, que evoluciona a medida que cambian sus necesidades. Creemos que se puede utilizar para abordar los siguientes objetivos. “, dijeron los investigadores Stav Shulman, Matan Mimran, Sara Bock y Mark Lechtic.
La medida se produce cuando el gobierno de Estados Unidos deja en claro que las fuerzas de amenaza iraníes continúan sus esfuerzos para influir e interferir con las próximas elecciones estadounidenses mediante el robo de materiales no públicos de la campaña del expresidente Donald Trump. Esto sucedió en respuesta a lo sucedido.
“A finales de junio y principios de julio, ciberatacantes iraníes maliciosos enviaron correos electrónicos no solicitados a personas asociadas con la campaña del entonces presidente Biden. Contenían extractos de documentos no públicos que se publicaron en el sitio web”, dijo el gobierno.
“En este momento, no hay información que indique que el destinatario haya respondido. Además, ciberactores iraníes maliciosos envían material privado robado relacionado con la campaña del expresidente Trump a organizaciones de medios estadounidenses. Hemos estado trabajando en esto desde junio”.
La intensificación de Irán de sus operaciones cibernéticas contra países que considera rivales también llega en un momento en que el país se ha vuelto cada vez más activo en Medio Oriente.
A finales del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) informó que la iraní APT Lemon Sandstorm (también conocida como Fox Kitten) colaboró en secreto con los grupos de amenazas NoEscape, RansomHouse y BlackCat (también conocido como ALPHV) para llevar a cabo ataques de ransomware. Advirtió que había sido ejecutado.
El análisis de Censys de la infraestructura de ataque del grupo de hackers indica que puede ser parte del grupo basándose en puntos en común basados en geolocalización, números de sistemas autónomos (ASN) y patrones idénticos de puertos y certificados digitales altos, se han revelado otros hosts actualmente activos. .
“A pesar de los intentos de ofuscar, reutilizar y aleatorizar, los humanos todavía necesitan crear instancias, operar y retirar la infraestructura digital”, dijo Matt Rembright de Censys.
“Incluso cuando los humanos dependen de la tecnología para crear aleatorización, casi siempre siguen algún patrón, como sistemas autónomos similares, geolocalización, proveedores de alojamiento, software, distribución de puertos o características de certificados”.
¿Te pareció interesante este artículo? sígueme Gorjeo Para leer más contenido exclusivo nuestro, visítenos en LinkedIn.
https://thehackernews.com/2024/09/iranian-apt-unc1860-linked-to-mois.html
