Las agencias de inteligencia y ciberseguridad de Estados Unidos han expuesto a un grupo de piratas informáticos iraníes que supuestamente piratearon varias organizaciones en todo el país y se coordinaron con afiliados para distribuir ransomware.
La actividad se ha vinculado a un actor malicioso apodado Pioneer Kitten, también conocido como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite y UNC757, al que describe como conectado con el gobierno iraní y utilizando una empresa de tecnología de la información de seguridad iraní (. IT), Danesh Novin Sahand, probablemente como tapadera.
“Sus operaciones cibernéticas maliciosas tienen como objetivo implementar ataques de ransomware para obtener y ampliar el acceso a la red”, dijeron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Delitos Cibernéticos del Departamento de Defensa. (DC3). dicho“Estas operaciones ayudan a los actores cibernéticos maliciosos a colaborar aún más con los actores afiliados para continuar implementando ransomware. »
Los objetivos de los ataques incluyen los sectores educativo, financiero, sanitario y de defensa, así como entidades gubernamentales locales en los Estados Unidos. También se han reportado intrusiones en Israel, Azerbaiyán y Emiratos Árabes Unidos (EAU) para robar datos sensibles.
El objetivo, según las agencias, es primero afianzarse en las redes de víctimas y luego colaborar con actores afiliados al ransomware asociados con NoEscape, RansomHouse y BlackCat (también conocido como ALPHV) para implementar archivos de malware cifrado a cambio de una parte del ilícito. procede, manteniendo su nacionalidad y origen “intencionalmente vagos”.
Según los informes, los intentos de ataque comenzaron en 2017 y continuaron este mes. Los actores de amenazas, también conocidos por los alias en línea Br0k3r y xplfinder, monetizan su acceso a las organizaciones víctimas en mercados clandestinos, lo que subraya sus intentos de diversificar sus fuentes de ingresos.
“Una parte importante de las actividades cibernéticas del grupo en los Estados Unidos tienen como objetivo obtener y mantener el acceso técnico a las redes de las víctimas para permitir futuros ataques de ransomware”, señalaron las agencias. “Los actores brindan privilegios completos de control de dominio, así como credenciales de administrador de dominio, a muchas redes en todo el mundo. »
“La participación de ciberactores iraníes en estos ataques de ransomware va más allá de proporcionar acceso; Trabajan en estrecha colaboración con afiliados de ransomware para bloquear las redes de las víctimas y desarrollar estrategias para extorsionar a las víctimas. »
El acceso inicial se logra aprovechando servicios externos remotos en activos conectados a Internet que son vulnerables a vulnerabilidades previamente reveladas (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 y CVE-2024- 24919), seguido de una serie de pasos para persistir, elevar privilegios y configurar el acceso remoto a través de herramientas como AnyDesk o la herramienta de túnel de código abierto Ligolo.
Las operaciones de ransomware patrocinadas por el Estado iraní no son un fenómeno nuevo. En diciembre de 2020, las empresas de ciberseguridad Control Y cielo despejado detalló una campaña de piratería y filtración de datos de Pioneer Kitten llamada Pay2Key que se dirigió específicamente a docenas de empresas israelíes mediante la explotación de vulnerabilidades de seguridad conocidas.
“El rescate en sí varió entre siete y nueve bitcoins (con algunos casos en los que el atacante se redujo a tres bitcoins)”, dijo la compañía en ese momento. “Para presionar a las víctimas para que paguen, el sitio de filtración Pay2Key muestra información confidencial robada de organizaciones específicas y amenaza con nuevas filtraciones si las víctimas continúan retrasando los pagos. »
Algunos de los ataques de ransomware también supuestamente se llevaron a cabo a través de una empresa subcontratista iraní llamada Emennet Pasargad, según documentos revelados por Lab Dookhtegan a principios de 2021.
Esta revelación pinta un retrato de un grupo flexible que opera con motivaciones tanto de ransomware como de ciberespionaje, uniéndose a otros grupos de piratería de doble uso como ChamelGang y Moonstone Sleet.
Peach Sandstorm propaga el malware Tickler en una campaña de larga duración
El desarrollo se produce cuando Microsoft dijo que observó al actor de amenazas patrocinado por el estado iraní Peach Sandstorm (también conocido como APT33, Curious Serpens, Elfin y Refined Kitten) implementar una nueva puerta trasera personalizada de múltiples etapas llamada Tickler en ataques contra objetivos en el satélite, equipos de comunicaciones, sectores de petróleo y gas, y de gobierno federal y estatal en los Estados Unidos y los Emiratos Árabes Unidos entre abril y julio de 2024.
“Peach Sandstorm también continuó llevando a cabo ataques de pulverización de contraseñas contra el sector educativo para la adquisición de infraestructura y contra los sectores satelital, gubernamental y de defensa como objetivos principales para la recopilación de inteligencia”, dijo el gigante tecnológico. dichoy agregó que detectó recopilación de inteligencia y posible ingeniería social dirigida a los sectores de educación superior, satélites y defensa a través de LinkedIn.
Estos esfuerzos en la plataforma de networking profesional, que se remontan al menos a noviembre de 2021 y continuaron hasta mediados de 2024, se materializaron en forma de perfiles falsos que se hacían pasar por estudiantes, desarrolladores y gestores de adquisición de talento supuestamente radicados en Estados Unidos y Occidente. Europa.
Los ataques de pulverización de contraseñas sirven como conducto para la puerta trasera personalizada de múltiples etapas Tickler, que está equipada con capacidades para descargar cargas útiles adicionales de la infraestructura Microsoft Azure controlada por el adversario, para realizar operaciones de archivos y recopilar información del sistema.
Se sabe que algunos ataques aprovechan las instantáneas de Active Directory (AD) para acciones administrativas maliciosas, el bloque de mensajes del servidor (SMB) para movimiento lateral y el software de administración y monitoreo remoto (RMM) AnyDesk para acceso remoto persistente.
“La conveniencia y utilidad de una herramienta como AnyDesk se ve amplificada por el hecho de que puede ser autorizada por controles de aplicaciones en entornos donde es utilizada legítimamente por el personal de soporte de TI o administradores de sistemas”, dijo Microsoft.
Se cree que Peach Sandstorm opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (IRGC). Se sabe que ha estado activo durante más de una década, llevando a cabo ataques de espionaje contra una amplia gama de objetivos del sector público y privado en todo el mundo. Las recientes intrusiones dirigidas al sector de defensa también han desplegado otra puerta trasera llamada FalseFont.
La operación de contrainteligencia iraní utiliza señuelos de recursos humanos para recopilar información
Como evidencia de la continua expansión de las operaciones iraníes en el ciberespacio, Mandiant, propiedad de Google, dijo que había descubierto una supuesta operación de contrainteligencia vinculada a Irán que tiene como objetivo recopilar datos sobre los iraníes y posibles amenazas internas para colaborar con sus supuestos adversarios, incluido Israel.
“Los datos recopilados pueden utilizarse para descubrir operaciones de inteligencia humana (HUMINT) realizadas contra Irán y para perseguir a cualquier iraní sospechoso de estar involucrado en estas operaciones”, dijeron los investigadores de Mandiant Ofir Rozmann, Asli Koksal y Sarah Bock. dicho“Pueden incluir disidentes iraníes, activistas, defensores de los derechos humanos y hablantes de farsi que viven en Irán y en el extranjero. »
Según la compañía, esta actividad tiene “poca superposición” con APT42 y se alinea con el historial del IRGC en la realización de operaciones de vigilancia contra amenazas internas e individuos de interés para el gobierno iraní. La campaña ha estado activa desde 2022.
La columna vertebral del ciclo de vida del ataque es una red de más de 40 sitios de reclutamiento falsos que se hacen pasar por compañías israelíes de recursos humanos y luego se distribuyen a través de redes sociales como víctimas potenciales para compartir su información personal (es decir, nombre, fecha de nacimiento, correo electrónico, dirección particular). , educación y experiencia laboral).
Estos sitios web señuelo, que se hacen pasar por Optima HR y Kandovan HR, afirman que su supuesto objetivo es “reclutar empleados y funcionarios de los servicios de inteligencia y seguridad iraníes” y tienen identificadores de Telegram que hacen referencia a Israel (IL) en sus identificadores (por ejemplo, PhantomÉL13 y obtenerDmÉL).
Mandian agregó que un análisis más detallado de los sitios web de Optima HR condujo al descubrimiento de un grupo anterior de sitios web de reclutamiento falsos dirigidos a hablantes de farsi y árabe afiliados con Siria y el Líbano (Hezbolá) bajo otra empresa de recursos humanos llamada VIP Human Solutions entre 2018 y 2022.
“La campaña lanza una amplia red al operar a través de múltiples plataformas de redes sociales para difundir su red de sitios web falsos de recursos humanos con el objetivo de exponer a personas de habla farsi que pueden estar trabajando con agencias de inteligencia y seguridad y, por lo tanto, son percibidas como una amenaza para la régimen iraní”, dijo Mandiant.