Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Microsoft identifica seis grupos de Hackers iranianos. Espero que seja útil, um grande abraço e até a próxima.
No ano passado, o Microsoft Threat Intelligence Center (MSTIC) observou uma evolução gradual das ferramentas, técnicas e procedimentos empregados por operadores de rede maliciosos baseados no Irã. No CyberWarCon 2021 , os analistas do MSTIC apresentaram suas análises dessas tendências na atividade do ator do Estado-nação iraniano durante uma sessão intitulada “ A evolução iraniana: mudanças observadas nas operações de rede maliciosas do Irã ”. Este blog tem como objetivo resumir o conteúdo dessa pesquisa e os tópicos cobertos em sua apresentação e demonstrar os esforços contínuos da MSTIC para rastrear esses atores e proteger os clientes das ameaças relacionadas.
O MSTIC rastreia consistentemente a atividade do ator da ameaça, incluindo os grupos discutidos neste blog, e trabalha em produtos e serviços de segurança da Microsoft para criar detecções em nossos produtos que melhoram a proteção do cliente. Estamos compartilhando este blog hoje para que outras pessoas na comunidade também possam estar cientes das técnicas mais recentes que observamos sendo usadas por atores iranianos.
Como acontece com qualquer atividade observada de ator estadual, a Microsoft notificou diretamente os clientes que foram visados ou comprometidos, fornecendo-lhes as informações de que precisam para ajudar a proteger suas contas. A Microsoft usa DEV – #### designations como um nome temporário dado a um cluster desconhecido, emergente ou em desenvolvimento de atividade de ameaça, permitindo ao MSTIC rastreá-lo como um conjunto exclusivo de informações até atingirmos uma alta confiança sobre a origem ou identidade do ator por trás da atividade. Depois de atender aos critérios, um DEV é convertido em um ator nomeado.
Emergiram três tendências notáveis em operadores de estado-nação iraniano:
Desde setembro de 2020, o MSTIC observou seis grupos de ameaças iranianas implantando ransomware para atingir seus objetivos estratégicos. Essas implantações de ransomware foram lançadas em ondas a cada seis a oito semanas, em média.
Figura 1: Linha do tempo de ataques de ransomware por agentes de ameaça iranianos
Em uma campanha observada, o PHOSPHORUS teve como alvo o Fortinet FortiOS SSL VPN e os Exchange Servers locais não corrigidos globalmente com a intenção de implantar ransomware em redes vulneráveis. Uma postagem recente no blog do DFIR Report descreve uma intrusão semelhante na qual os atores aproveitaram vulnerabilidades em servidores Exchange locais para comprometer o ambiente da vítima e criptografar sistemas por meio do BitLocker. MSTIC também atribui esta atividade a FÓSFORO. Os operadores do PHOSPHORUS conduziram uma ampla varredura e resgataram os sistemas almejados por meio de um processo de cinco etapas: Varredura, Exploração, Revisão, Estágio, Resgate.
No início de 2021, os atores do PHOSPHORUS varreram milhões de IPs na Internet para Fortinet FortiOS SSL VPN que eram vulneráveis ao CVE-2018-13379 . Essa vulnerabilidade permitiu que os invasores coletassem credenciais de texto não criptografado do arquivo de sessões em dispositivos VPN Fortinet vulneráveis. Os atores coletaram credenciais de mais de 900 servidores Fortinet VPN nos Estados Unidos, Europa e Israel até agora neste ano. Na última metade de 2021, o PHOSPHORUS mudou para a varredura de Exchange Servers locais sem patch vulneráveis ao ProxyShell ( CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 ).
Ao identificar servidores vulneráveis, o PHOSPHORUS procurou ganhar persistência nos sistemas de destino. Em alguns casos, os atores baixaram um executor Plink denominado MicrosoftOutLookUpdater.exe . Este arquivo seria enviado periodicamente para seus servidores C2 via SSH, permitindo que os atores emitissem comandos adicionais. Mais tarde, os atores baixariam um implante personalizado por meio de um comando PowerShell codificado em Base64. Este implante estabeleceu persistência no sistema da vítima, modificando as chaves de registro de inicialização e, finalmente, funcionou como um carregador para baixar ferramentas adicionais.
Depois de ganhar persistência, os atores de PHOSPHORUS fizeram a triagem de centenas de vítimas para determinar quais delas eram adequadas para ações relacionadas aos objetivos. Em vítimas selecionadas, os operadores criaram contas de administrador local com um nome de usuário “help” e senha “_AS_ @ 1394” por meio dos comandos abaixo. Na ocasião, os atores largavam o LSASS para adquirir credenciais a serem usadas posteriormente para o movimento lateral.
Finalmente, a MSTIC observou o PHOSPHORUS empregando o BitLocker para criptografar dados e resgatar vítimas em várias organizações visadas. O BitLocker é um recurso de criptografia de volume completo destinado a fins legítimos. Depois de comprometer o servidor inicial (por meio de VPN ou Exchange Server vulnerável), os atores moveram-se lateralmente para um sistema diferente na rede da vítima para obter acesso a recursos de maior valor. A partir daí, eles implantaram um script para criptografar as unidades em vários sistemas. As vítimas foram instruídas a entrar em contato com uma página específica do Telegram para pagar pela chave de descriptografia.
À medida que os operadores iranianos adaptaram seus objetivos estratégicos e técnicas, ao longo do tempo eles evoluíram para atores de ameaças mais competentes, capazes de conduzir um espectro completo de operações, incluindo:
Especificamente, os operadores iranianos provaram que desejam e são capazes de:
Gostaram do artigo Microsoft identifica seis grupos de Hackers iranianos? Então conheça também o nosso Podcast – Formata meu PC?
Fui premiado como Microsoft MVP por três anos consecutivos e atualmente atuo como Head de Security, apoiando clientes com soluções de arquiteturas e segurança em nuvem.
