fbpx

Microsoft identifica seis grupos de Hackers iranianos

Shape Image One
Microsoft identifica seis grupos de Hackers iranianos

Salve galera! Wellington Agápto por aqui. Hoje eu trouxe o artigo: Microsoft identifica seis grupos de Hackers iranianos. Espero que seja útil, um grande abraço e até a próxima. 

 

Microsoft identifica seis grupos de Hackers iranianos

No ano passado, o Microsoft Threat Intelligence Center (MSTIC) observou uma evolução gradual das ferramentas, técnicas e procedimentos empregados por operadores de rede maliciosos baseados no Irã. No CyberWarCon 2021 , os analistas do MSTIC apresentaram suas análises dessas tendências na atividade do ator do Estado-nação iraniano durante uma sessão intitulada “ A evolução iraniana: mudanças observadas nas operações de rede maliciosas do Irã ”. Este blog tem como objetivo resumir o conteúdo dessa pesquisa e os tópicos cobertos em sua apresentação e demonstrar os esforços contínuos da MSTIC para rastrear esses atores e proteger os clientes das ameaças relacionadas.

O MSTIC rastreia consistentemente a atividade do ator da ameaça, incluindo os grupos discutidos neste blog, e trabalha em produtos e serviços de segurança da Microsoft para criar detecções em nossos produtos que melhoram a proteção do cliente. Estamos compartilhando este blog hoje para que outras pessoas na comunidade também possam estar cientes das técnicas mais recentes que observamos sendo usadas por atores iranianos.

Como acontece com qualquer atividade observada de ator estadual, a Microsoft notificou diretamente os clientes que foram visados ​​ou comprometidos, fornecendo-lhes as informações de que precisam para ajudar a proteger suas contas. A Microsoft usa DEV – #### designations como um nome temporário dado a um cluster desconhecido, emergente ou em desenvolvimento de atividade de ameaça, permitindo ao MSTIC rastreá-lo como um conjunto exclusivo de informações até atingirmos uma alta confiança sobre a origem ou identidade do ator por trás da atividade. Depois de atender aos critérios, um DEV é convertido em um ator nomeado.

Emergiram três tendências notáveis ​​em operadores de estado-nação iraniano:

  • Eles estão cada vez mais utilizando ransomware para coletar fundos ou interromper seus alvos.
  • Eles são mais pacientes e persistentes enquanto se envolvem com seus alvos.
  • Embora os operadores iranianos sejam mais pacientes e persistentes com suas campanhas de engenharia social, eles continuam a empregar ataques agressivos de força bruta em seus alvos.

 

Ransomware

Desde setembro de 2020, o MSTIC observou seis grupos de ameaças iranianas implantando ransomware para atingir seus objetivos estratégicos. Essas implantações de ransomware foram lançadas em ondas a cada seis a oito semanas, em média.

Linha do tempo mostrando datas, ator de ameaça e carga útil de malware de ataques de ransomware por atores de ameaça iranianos

Figura 1: Linha do tempo de ataques de ransomware por agentes de ameaça iranianos

 

Em uma campanha observada, o PHOSPHORUS teve como alvo o Fortinet FortiOS SSL VPN e os Exchange Servers locais não corrigidos globalmente com a intenção de implantar ransomware em redes vulneráveis. Uma postagem recente no blog do DFIR Report descreve uma intrusão semelhante na qual os atores aproveitaram vulnerabilidades em servidores Exchange locais para comprometer o ambiente da vítima e criptografar sistemas por meio do BitLocker. MSTIC também atribui esta atividade a FÓSFORO. Os operadores do PHOSPHORUS conduziram uma ampla varredura e resgataram os sistemas almejados por meio de um processo de cinco etapas: Varredura, Exploração, Revisão, Estágio, Resgate.

 

Scan

No início de 2021, os atores do PHOSPHORUS varreram milhões de IPs na Internet para Fortinet FortiOS SSL VPN que eram vulneráveis ​​ao CVE-2018-13379 . Essa vulnerabilidade permitiu que os invasores coletassem credenciais de texto não criptografado do arquivo de sessões em dispositivos VPN Fortinet vulneráveis. Os atores coletaram credenciais de mais de 900 servidores Fortinet VPN nos Estados Unidos, Europa e Israel até agora neste ano. Na última metade de 2021, o PHOSPHORUS mudou para a varredura de Exchange Servers locais sem patch vulneráveis ​​ao ProxyShell ( CVE-2021-26855, CVE-2021-26857, CVE-2021-26858 e CVE-2021-27065 ).

 

Exploit

Ao identificar servidores vulneráveis, o PHOSPHORUS procurou ganhar persistência nos sistemas de destino. Em alguns casos, os atores baixaram um executor Plink denominado MicrosoftOutLookUpdater.exe . Este arquivo seria enviado periodicamente para seus servidores C2 via SSH, permitindo que os atores emitissem comandos adicionais. Mais tarde, os atores baixariam um implante personalizado por meio de um comando PowerShell codificado em Base64. Este implante estabeleceu persistência no sistema da vítima, modificando as chaves de registro de inicialização e, finalmente, funcionou como um carregador para baixar ferramentas adicionais.

 

Review

Depois de ganhar persistência, os atores de PHOSPHORUS fizeram a triagem de centenas de vítimas para determinar quais delas eram adequadas para ações relacionadas aos objetivos. Em vítimas selecionadas, os operadores criaram contas de administrador local com um nome de usuário “help” e senha “_AS_ @ 1394” por meio dos comandos abaixo. Na ocasião, os atores largavam o LSASS para adquirir credenciais a serem usadas posteriormente para o movimento lateral.

Captura de tela do código para adicionar um usuário

 

Stage and Ransom

Finalmente, a MSTIC observou o PHOSPHORUS empregando o BitLocker para criptografar dados e resgatar vítimas em várias organizações visadas. O BitLocker é um recurso de criptografia de volume completo destinado a fins legítimos. Depois de comprometer o servidor inicial (por meio de VPN ou Exchange Server vulnerável), os atores moveram-se lateralmente para um sistema diferente na rede da vítima para obter acesso a recursos de maior valor. A partir daí, eles implantaram um script para criptografar as unidades em vários sistemas. As vítimas foram instruídas a entrar em contato com uma página específica do Telegram para pagar pela chave de descriptografia.

Captura de tela da mensagem de resgate

 

À medida que os operadores iranianos adaptaram seus objetivos estratégicos e técnicas, ao longo do tempo eles evoluíram para atores de ameaças mais competentes, capazes de conduzir um espectro completo de operações, incluindo:

  • Operações de informação
  • Perturbação e destruição
  • Apoio às operações físicas

Especificamente, os operadores iranianos provaram que desejam e são capazes de:

  • Implantar ransomware
  • Implantar limpadores de disco
  • Implantar malware móvel
  • Conduzir ataques de phishing
  • Conduzir ataques de spray de senha
  • Conduzir ataques de exploração em massa
  • Conduzir ataques à cadeia de suprimentos
  • Encobrir as comunicações C2 por trás de serviços em nuvem legítimos

 

Curso gratuito com certificado?

Faça o curso de Fundamentos da computação em nuvem gratuitamente e garanta o seu certificado. Inscreva-se clicando AQUI.

certificado-de-curso-computacao-em-nuvem-wellington-agapto-uni-academy

 

Já conhece o nosso Podcast?

Gostaram do artigo Microsoft identifica seis grupos de Hackers iranianos? Então conheça também o nosso Podcast – Formata meu PC?