Las agencias de inteligencia y ciberseguridad de Estados Unidos han denunciado a un grupo de piratas informáticos iraní por violar múltiples organizaciones en todo el país y coordinarse con afiliados para distribuir ransomware.
La actividad ha sido vinculada a un actor de amenazas denominado Pioneer Kitten, también conocido como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite y UNC757, al que describió como conectado al gobierno de Irán y que utiliza una empresa iraní de tecnología de la información (TI), Danesh Novin Sahand, probablemente como tapadera.
“Sus operaciones cibernéticas maliciosas tienen como objetivo implementar ataques de ransomware para obtener y desarrollar acceso a la red”, dijeron la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), la Oficina Federal de Investigaciones (FBI) y el Centro de Delitos Cibernéticos del Departamento de Defensa (DC3). dicho“Estas operaciones ayudan a los actores cibernéticos maliciosos a seguir colaborando con actores afiliados para continuar implementando ransomware”.
Los objetivos de los ataques incluyen sectores de educación, finanzas, atención médica y defensa, así como entidades gubernamentales locales en los EE. UU., y también se reportan intrusiones en Israel, Azerbaiyán y los Emiratos Árabes Unidos (EAU) para robar datos confidenciales.
El objetivo, evaluaron las agencias, es ganar un punto de apoyo inicial en las redes de víctimas y posteriormente colaborar con actores afiliados de ransomware asociados con NoEscape, RansomHouse y BlackCat (también conocido como ALPHV) para implementar malware de cifrado de archivos a cambio de una parte de las ganancias ilícitas, mientras se mantiene su nacionalidad y origen “intencionadamente vagos”.
Se cree que los intentos de ataque comenzaron en 2017 y continúan hasta este mes. Se ha descubierto que los actores de la amenaza, que también utilizan los apodos en línea Br0k3r y xplfinder, monetizan su acceso a las organizaciones víctimas en mercados clandestinos, lo que pone de relieve los intentos de diversificar sus fuentes de ingresos.
“Un porcentaje significativo de la actividad cibernética del grupo, centrada en Estados Unidos, tiene como objetivo obtener y mantener acceso técnico a las redes de las víctimas para permitir futuros ataques de ransomware”, señalaron las agencias. “Los actores ofrecen privilegios de control de dominio completo, así como credenciales de administrador de dominio, a numerosas redes en todo el mundo”.
“La participación de los actores cibernéticos iraníes en estos ataques de ransomware va más allá de brindar acceso; trabajan en estrecha colaboración con afiliados de ransomware para bloquear las redes de las víctimas y desarrollar estrategias para extorsionar a las víctimas”.
El acceso inicial se logra aprovechando servicios externos remotos en activos conectados a Internet que son vulnerables a fallas previamente reveladas (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 y CVE-2024-24919), seguido de una serie de pasos para persistir, escalar privilegios y configurar el acceso remoto a través de herramientas como AnyDesk o la herramienta de tunelización de código abierto Ligolo.
Las operaciones de ransomware patrocinadas por el Estado iraní no son un fenómeno nuevo. En diciembre de 2020, las empresas de ciberseguridad Punto de control y Cielo despejado detalló una campaña de piratería y filtración de Pioneer Kitten llamada Pay2Key que específicamente atacó a docenas de empresas israelíes explotando vulnerabilidades de seguridad conocidas.
“El rescate en sí oscilaba entre siete y nueve bitcoins (en algunos casos se negoció con el atacante hasta tres bitcoins)”, señaló la empresa en ese momento. “Para presionar a las víctimas a pagar, el sitio de filtraciones de Pay2Key muestra información confidencial robada a las organizaciones objetivo y amenaza con más filtraciones si las víctimas continúan retrasando los pagos”.
También se dice que algunos de los ataques de ransomware se llevaron a cabo a través de una empresa contratista iraní llamada Emennet Pasargad, según documentos filtrados por Lab Dookhtegan a principios de 2021.
La revelación describe la imagen de un grupo flexible que opera con motivos tanto de ransomware como de espionaje cibernético, uniéndose a otros grupos de piratería de doble propósito como ChamelGang y Moonstone Sleet.
Peach Sandstorm distribuye malware Tickler en una campaña de larga duración
El desarrollo se produce luego de que Microsoft dijo que observó al actor de amenazas patrocinado por el estado iraní Peach Sandstorm (también conocido como APT33, Curious Serpens, Elfin y Refined Kitten) implementando una nueva puerta trasera personalizada de múltiples etapas conocida como Tickler en ataques contra objetivos en los sectores de satélites, equipos de comunicaciones, petróleo y gas, así como del gobierno federal y estatal en los EE. UU. y los Emiratos Árabes Unidos entre abril y julio de 2024.
“Peach Sandstorm también continuó realizando ataques de rociado de contraseñas contra el sector educativo para la adquisición de infraestructura y contra los sectores satelitales, gubernamentales y de defensa como objetivos principales para la recopilación de inteligencia”, dijo el gigante tecnológico. dichoy agregó que detectó recopilación de inteligencia y posible ingeniería social dirigida a los sectores de educación superior, satélites y defensa a través de LinkedIn.
Estos esfuerzos en la plataforma de redes profesionales, que se remontan al menos a noviembre de 2021 y han continuado hasta mediados de 2024, se materializaron en forma de perfiles falsos que se hacían pasar por estudiantes, desarrolladores y gerentes de adquisición de talentos supuestamente radicados en Estados Unidos y Europa Occidental.
Los ataques de pulverización de contraseñas sirven como conducto para la puerta trasera multietapa personalizada Tickler, que viene con capacidades para descargar cargas útiles adicionales desde una infraestructura de Microsoft Azure controlada por el adversario, realizar operaciones de archivos y recopilar información del sistema.
Algunos de los ataques se destacan por aprovechar las instantáneas de Active Directory (AD) para acciones administrativas maliciosas, Server Message Block (SMB) para movimiento lateral y el software de administración y monitoreo remoto (RMM) AnyDesk para acceso remoto persistente.
“La conveniencia y utilidad de una herramienta como AnyDesk se ve amplificada por el hecho de que puede ser permitida por controles de aplicaciones en entornos donde es utilizada legítimamente por personal de soporte de TI o administradores de sistemas”, afirmó Microsoft.
Se estima que Peach Sandstorm opera en nombre del Cuerpo de la Guardia Revolucionaria Islámica de Irán (CGRI). Se sabe que lleva más de una década activo y que lleva a cabo ataques de espionaje contra una amplia gama de objetivos del sector público y privado en todo el mundo. En recientes intrusiones dirigidas al sector de defensa también se ha implementado otra puerta trasera llamada FalseFont.
Operación de contrainteligencia iraní utiliza señuelos de recursos humanos para recolectar información
En lo que evidencia la constante expansión de las operaciones iraníes en el ciberespacio, Mandiant, propiedad de Google, dijo que descubrió una presunta operación de contrainteligencia con nexo con Irán que tiene como objetivo recopilar datos sobre iraníes y amenazas domésticas que pueden estar colaborando con sus supuestos adversarios, incluido Israel.
“Los datos recopilados pueden utilizarse para descubrir operaciones de inteligencia humana (HUMINT) realizadas contra Irán y para perseguir a cualquier iraní sospechoso de estar involucrado en estas operaciones”, afirman los investigadores de Mandiant Ofir Rozmann, Asli Koksal y Sarah Bock. dicho“Entre ellos pueden incluirse disidentes iraníes, activistas, defensores de los derechos humanos y hablantes de farsi que viven dentro y fuera de Irán”.
La actividad, según la empresa, comparte una “ligera superposición” con APT42 y se alinea con el historial del CGRI de realizar operaciones de vigilancia contra amenazas internas e individuos de interés para el gobierno iraní. La campaña ha estado activa desde 2022.
La columna vertebral del ciclo de vida del ataque es una red de más de 40 sitios web de reclutamiento falsos que se hacen pasar por empresas de recursos humanos israelíes y que luego se difunden a través de canales de redes sociales como X y Virasty para engañar a las posibles víctimas para que compartan su información personal (es decir, nombre, fecha de nacimiento, correo electrónico, dirección de domicilio, educación y experiencia profesional).
Estos sitios web señuelo, que se hacen pasar por Optima HR y Kandovan HR, afirman que su supuesto propósito es “reclutar empleados y oficiales de las organizaciones de inteligencia y seguridad de Irán” y tienen cuentas de Telegram que hacen referencia a Israel (IL) en sus cuentas (por ejemplo, PhantomIllinois13 y obtenerDmIllinois).
Mandian dijo además que un análisis más detallado de los sitios web de Optima HR condujo al descubrimiento de un grupo anterior de sitios web de reclutamiento falsos que apuntaban a hablantes de farsi y árabe afiliados a Siria y Líbano (Hezbollah) bajo una empresa de recursos humanos diferente llamada VIP Human Solutions entre 2018 y 2022.
“La campaña lanza una amplia red al operar a través de múltiples plataformas de medios sociales para difundir su red de sitios web de recursos humanos falsos en un intento de exponer a individuos de habla farsi que pueden estar trabajando con agencias de inteligencia y seguridad y, por lo tanto, son percibidos como una amenaza para el régimen de Irán”, dijo Mandiant.
About the Author
