Un actor (APT) iraniano denominato UNC1860, probabilmente affiliato al Ministero dell’Intelligence e della Sicurezza (MOIS), sta fungendo da intermediario fornendo accesso remoto alle reti bersaglio.
Mandiant, di proprietà di Google, sta monitorando il cluster di attività che viene utilizzato per le operazioni criminali, che secondo l’azienda presenta somiglianze con i set di intrusione monitorati da Microsoft, Cisco Talos e Check Point, rispettivamente come Storm-0861 (in precedenza DEV-0861), ShroudedSnooper e Scarred Manticore .
alcune caratteristiche fondamentali di UNC1860 è la sua raccolta di strumenti specializzati e backdoor passive predisposte su diversi obiettivi, il suo ruolo di probabile fornitore di accessi e la sua capacità di ottenere sempre un accesso esclusivo persistente alle reti ad alta priorità, come quelle nel settore governativo e delle telecomunicazioni in tutto il Medio Oriente, ha affermato la società.
Il gruppo è venuto alla luce per la prima volta nel luglio 2022 in relazione ad attacchi informatici contro l’Albania e Israele con una varietà di ransomware: tra i quali ROADSWEEP, la backdoor CHIMNEYSWEEP e una variante del wiper ZEROCLEAR (noto anche come Cl Wiper).
Mandiant ha descritto UNC1860 come una “formidabile organizzazione criminale attrezzata” che gestisce un arsenale di backdoor passive progettate per ottenere entry point nelle reti delle vittime e stabilire un accesso a lungo termine senza attirare l’attenzione.
Tra questi strumenti sono inclusi due controller di malware gestiti tramite GUI, denominati TEMPLEPLAY e VIROGREEN, che forniscono ad altri actor associati a MOIS l’accesso remoto agli ambienti target tramite il protocollo RDP (Remote Desktop Protocol).
Nello specifico, questi controller sono progettati per fornire agli operatori terzi un’interfaccia che offre istruzioni sulle modalità con cui distribuire payload personalizzati e sulle modalità con cui svolgere attività di post-sfruttamento, come la scansione interna, all’interno della rete di destinazione.
Mandiant ha affermato di aver individuato sovrapposizioni tra UNC1860 e APT34 (alias Hazel Sandstorm, Helix Kitten e OilRig) in quanto le organizzazioni compromesse da quest’ultimo nel 2019 e nel 2020 erano state precedentemente oggetto di violazione da UNC1860 e viceversa. Inoltre, entrambi i cluster sono stati osservati spostarsi verso obiettivi in Iraq, come evidenziato di recente da Check Point.
Le catene di attacco prevedono lo sfruttamento dell’accesso base ottenuto tramite lo sfruttamento di server vulnerabili esposti in internet, il successivo il rilascio di web shell e dropper come STAYSHANTE e SASHEYAWAY, con quest’ultimo che porta all’esecuzione di impianti passivi, come TEMPLEDOOR, FACEFACE e SPARKLOAD, che sono incorporati al suo interno.
VIROGREEN è un framework personalizzato utilizzato per sfruttare i server SharePoint vulnerabili alla falla CVE-2019-0604 , hanno affermato i ricercatori, aggiungendo che controlla la web shell STAYSHANTE, insieme a una backdoor denominata BASEWALK.
Il framework fornisce funzionalità tra cui il controllo dei payload di post-sfruttamento, delle backdoor (inclusa la web shell STAYSHANTE e la backdoor BASEWALK) , il controllo di un agent compatibile e l’esecuzione di comandi e il caricamento/scaricamento di file.
TEMPLEPLAY (chiamato internamente Client Http), da parte sua, funge da controller basato su .NET per TEMPLEDOOR. Supporta istruzioni per l’esecuzione di comandi tramite cmd.exe, caricamento/scaricamento di file da e verso l’host infetto e connessione proxy a un server di destinazione.
Si ritiene che l’avversario abbia in suo possesso un insieme di strumenti passivi e backdoor principali che sono in linea con i suoi obiettivi iniziali di accesso, movimento laterale e raccolta di informazioni.
Di seguito sono elencati alcuni degli altri strumenti degni di nota documentati da Mandiant:
- OATBOAT, un uploader che carica ed esegue payload shellcode
- TOFUDRV, un driver Windows dannoso che si sovrappone a WINTAPIX
- TOFULOAD, un impianto passivo che impiega comandi di controllo di input/output (IOCTL) non documentati per la comunicazione
- TEMPLEDROP, una versione riadattata di un driver di filtro del file system di Windows che viene utilizzato per proteggere dalle modifiche i fileche distribuisce
- TEMPLELOCK, un’utilità di elusione della difesa .NET in grado di killare il servizio del Registro eventi di Windows
- TUNNELBOI, un controller di rete in grado di stabilire una connessione con un host remoto e gestire le connessioni RDP
Mentre le tensioni continuano in Medio Oriente, si crede che l’abilità di questo actor nell’ottenere l’accesso iniziale nelle infrastrutture target rappresenti una risorsa preziosa per l’ecosistema informatico iraniano, che può essere sfruttata per rispondere a obiettivi in evoluzione man mano che le esigenze cambiano, hanno affermato i ricercatori Stav Shulman, Matan Mimran, Sarah Bock e Mark Lechtik.
Intanto gli Stati Uniti hanno rivelato i continui tentativi degli actor iraniani di influenzare e compromettere le imminenti elezioni statunitensi rubando materiale privato dalla campagna dell’ex presidente Donald Trump, inviandolo tramite email a persone vicine alla campagna dell’ex presidente Biden e alle società mediatiche, email contenenti estratti del materiale rubato alla campagna elettorale di Trump.
Verso la fine del mese scorso, la Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha lanciato l’allarme : l’APT iraniana Lemon Sandstorm (noto anche come Fox Kitten) ha condotto attacchi ransomware collaborando clandestinamente con le squadre di NoEscape, RansomHouse e BlackCat (noto anche come ALPHV).
L’analisi di Censys dell’infrastruttura di attacco del gruppo di hacker iraniano ha scoperto altri gruppi attualmente attivi che probabilmente ne fanno parte, sulla base di elementi comuni basati sulla geolocalizzazione, sui numeri di sistema autonomo (ASN) e su modelli identici di porte e certificati digitali.
Gli esseri umani, anche se si affidano alla tecnologia per creare casualità, seguiranno quasi sempre una sorta di schema, che si tratti di sistemi autonomi simili, geolocalizzazioni, provider di hosting, software, distribuzioni di porte o caratteristiche dei certificati.
Seguici anche su:
@INSTAGRAM https://www.instagram.com/hackerpunk2019/
@LINKEDIN https://www.linkedin.com/company/hackerpunk
@FACEBOOK https://www.facebook.com/hackerpunk2019
@EBOOK
https://amzn.eu/d/6dcujGr
@EBOOK (English version)
https://amzn.eu/d/0yu1ldv
@YOUTUBE https://www.youtube.com/channel/UCiAAq1h_ehRaw3gi09zlRoQ