Una amenaza persistente avanzada (APT) vinculada al Ministerio de Inteligencia y Seguridad (MOIS) de Irán proporciona servicios de acceso inicial a una serie de grupos de hackers estatales iraníes.
UNC1860 ha sido la puerta de entrada a ataques de grupos notorios como Mantícora marcada Y plataforma petrolera (también conocido como APT34, Helix Kitten, Cobalt Gypsy, Lyceum, Crambus o Siamesekitten). Como explicó Mandiant en una publicación reciente de su blog, su enfoque es exclusivamente abrirse paso y establecer una cabeza de playa en redes potencialmente valiosas en sectores de alto valor (gobierno, medios de comunicación, academia, infraestructura crítica y especialmente telecomunicaciones) y luego transferir el acceso a otros actores del Estado-nación iraní.
A lo largo de los años, la UNC1860 se ha asociado con ataques a objetivos en Irak, Arabia Saudita y Qatar; espiar a empresas de telecomunicaciones de Oriente Medio; preparar el escenario para ataques con limpiaparabrisas en Albania e Israel; y más.
Las numerosas puertas traseras de la UNC1860
En marzo, la Dirección Nacional Cibernética de Israel advirtió que los ataques de limpieza estaban afectando a organizaciones de todo el país, incluidos proveedores de servicios administrados, gobiernos locales e instituciones académicas. Entre los indicadores de compromiso (IoC) se encontraban un shell web llamado “Stayshante” y un dropper llamado “Sasheyaway”, dos de las aproximadamente 30 herramientas de malware personalizadas administradas por UNC1860, explica el informe de Mandiant.
El UNC1860 no es quien realiza el borrado ni ningún otro comportamiento disruptivo, destructivo o de otro tipo de explotación en la red de un objetivo. Su trabajo es simplemente ganar ese punto de apoyo inicial, principalmente escaneando los activos públicos de las organizaciones objetivo en busca de vulnerabilidades y luego eliminando una serie de puertas traseras cada vez más serias y sofisticadas.
Stayshante, Sasheyaway y herramientas similares son su primer paso en el agua y pueden usarse para descargar puertas traseras más grandes como “Templedoor”, “Faceface” y “Sparkload”. Para sus objetivos de mayor valor, UNC1860 implementará sus puertas traseras más sofisticadas, como “Templedrop” o “Oatboat”, que cargan y ejecutan cargas útiles como “Tofupipe” y “Tofuload”, oyentes pasivos basados en TCP.
“Para configurar estos oyentes, ni siquiera utilizan las llamadas API clásicas de Windows: en realidad utilizan herramientas no documentadas de HTTP.sys, lo cual es una locura”, dice Stav Shulman, investigador principal de Mandiant by Google Cloud.
“La mayoría de las puertas traseras aprovechan las llamadas API comunes, por lo que la mayoría de los motores las detectan”, afirma Shulman. “Pero si está decidido, es lo suficientemente inteligente y tiene conocimientos técnicos extraordinarios, puede explotar llamadas que no están documentadas por Microsoft Developer Network (MSDN). Entonces, UNC1860 en realidad les realizó ingeniería inversa, por lo que no detectará sus llamadas. »
El truco de UNC1860 para permanecer indetectable
Además de su falta de comportamiento destructivo, hay otra razón por la que escuchas sobre Scarred Manticore, Oil Rig y Shrouded Snooper, pero rara vez sobre UNC1860: todos los implantes de UNC1860 son completamente pasivos. No envía ninguna información desde las redes de destino y no necesita mantener ninguna infraestructura de comando y control (C2).
“Hoy en día, la mayor parte de la detección se centra en las comunicaciones salientes, pero UNC1860 se centra únicamente en las solicitudes entrantes”, afirma Shulman. “El tráfico entrante que escuchan puede provenir de muchas fuentes sigilosas. [including] Nodos VPN cerca del objetivo, otras víctimas de ataques anteriores y otras ubicaciones en la red de un objetivo.
En 2020, por ejemplo, se observó que el grupo utilizaba la red de una de sus víctimas como punto de partida para buscar direcciones IP potencialmente vulnerables en Arabia Saudita, verificando varias cuentas y direcciones de correo electrónico asociadas con dominios en Arabia Saudita en Qatar. y apuntar a servidores VPN en la misma región.
Y, como señala Shulman, “para intensificar la operación, todo lo que necesitan hacer es enviar un comando en un momento aleatorio para activar la puerta trasera. » Dado que los implantes del grupo utilizan tráfico cifrado HTTPS, las víctimas no podrán descifrar sus comandos ni sus cargas útiles.
Shulman aconseja a las organizaciones centrarse en la mejor manera de controlar el tráfico entrante de la red.
“¿Cómo detectamos [malicious traffic]“¿Cómo podemos decidir si el tráfico entrante es malicioso o no? “, explica Shulman. “Porque incluso [when UNC1860 is abusing] “Si bien los motores de ciberseguridad pueden detectar llamadas API documentadas, una gran cantidad de software legítimo utiliza estas mismas llamadas. Por lo tanto, detectar llamadas maliciosas puede ser muy confuso y generar muchos falsos positivos. Creo que centrarse en el tráfico entrante es la clave para detectar la actividad UNC1860. “.