Un actor de amenazas persistentes avanzadas (APT) iran\u00ed probablemente afiliado al Ministerio de Inteligencia y Seguridad (MOIS) ahora est\u00e1 actuando como un facilitador de acceso inicial que proporciona acceso remoto a redes objetivo.<\/p>\n
Mandiant, propiedad de Google, est\u00e1 rastreando el grupo de actividad bajo el nombre UNC1860<\/strong>que seg\u00fan dice comparte similitudes con conjuntos de intrusiones rastreados por Microsoft, Cisco Talos y Check Point como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper y Scarred Manticore, respectivamente.<\/p>\n “Una caracter\u00edstica clave de UNC1860 es su colecci\u00f3n de herramientas especializadas y puertas traseras pasivas que […] “Apoya varios objetivos, incluido su papel como probable proveedor de acceso inicial y su capacidad para obtener acceso persistente a redes de alta prioridad, como las del sector gubernamental y de telecomunicaciones en todo Oriente Medio”, afirma la empresa. dicho<\/a>.<\/p>\n El grupo sali\u00f3 a la luz por primera vez en julio de 2022 en relaci\u00f3n con ciberataques destructivos dirigidos a Albania con una cepa de ransomware llamada ROADSWEEP, la puerta trasera CHIMNEYSWEEP y una variante de limpiador ZEROCLEAR (tambi\u00e9n conocida como Cl Wiper), con intrusiones posteriores en Albania e Israel aprovechando nuevos limpiadores denominados No-Justice y BiBi (tambi\u00e9n conocido como BABYWIPER).<\/p>\n Mandiant describi\u00f3 a UNC1860 como un “formidable actor de amenazas” que mantiene un arsenal de puertas traseras pasivas dise\u00f1adas para obtener puntos de apoyo en las redes de las v\u00edctimas y establecer acceso a largo plazo sin atraer la atenci\u00f3n.<\/p>\n Entre las herramientas se incluyen dos controladores de malware operados por GUI identificados como TEMPLEPLAY y VIROGREEN, que se dice brindan a otros actores de amenazas asociados a MOIS acceso remoto a los entornos de las v\u00edctimas mediante el protocolo de escritorio remoto (RDP).<\/p>\n Espec\u00edficamente, estos controladores est\u00e1n dise\u00f1ados para proporcionar a los operadores de terceros una interfaz que ofrece instrucciones sobre las formas en que se pueden implementar cargas \u00fatiles personalizadas y se pueden realizar actividades posteriores a la explotaci\u00f3n, como el escaneo interno, dentro de la red objetivo.<\/p>\n Mandiant afirm\u00f3 que identific\u00f3 superposiciones entre UNC1860 y APT34 (tambi\u00e9n conocidas como Hazel Sandstorm, Helix Kitten y OilRig) en el sentido de que las organizaciones comprometidas por este \u00faltimo en 2019 y 2020 fueron infiltradas previamente por UNC1860, y viceversa. Adem\u00e1s, se ha observado que ambos grupos se est\u00e1n centrando en objetivos con base en Irak, como lo destac\u00f3 recientemente Check Point.<\/p>\n Las cadenas de ataque implican aprovechar el acceso inicial obtenido mediante la explotaci\u00f3n oportunista de servidores vulnerables que dan a Internet para instalar shells web y droppers como STAYSHANTE y SASHEYAWAY, este \u00faltimo conduciendo a la ejecuci\u00f3n de implantes, como TEMPLEDOOR, FACEFACE y SPARKLOAD, que est\u00e1n integrados en \u00e9l.<\/p>\n “VIROGREEN es un marco personalizado que se utiliza para explotar servidores SharePoint vulnerables con CVE-2019-0604<\/a>“, dijeron los investigadores, agregando que controla STAYSHANTE, junto con una puerta trasera conocida como BASEWALK. <\/p>\n “El marco proporciona capacidades de post-explotaci\u00f3n que incluyen […] controlar cargas \u00fatiles posteriores a la explotaci\u00f3n, puertas traseras (incluido el shell web STAYSHANTE y la puerta trasera BASEWALK) y tareas; controlar un agente compatible independientemente de c\u00f3mo se haya implantado el agente; y ejecutar comandos y cargar\/descargar archivos.<\/p>\n TEMPLEPLAY (denominado internamente Client Http), por su parte, act\u00faa como controlador basado en .NET para TEMPLEDOOR. Admite instrucciones de puerta trasera para ejecutar comandos a trav\u00e9s de cmd.exe, cargar\/descargar archivos desde y hacia el host infectado y conexi\u00f3n proxy a un servidor de destino.<\/p>\n Se cree que el adversario tiene en su poder una colecci\u00f3n diversa de herramientas pasivas y puertas traseras de escenario principal que se alinean con sus objetivos iniciales de acceso, movimiento lateral y recopilaci\u00f3n de informaci\u00f3n.<\/p>\n A continuaci\u00f3n se enumeran algunas de las otras herramientas importantes documentadas por Mandiant:<\/p>\n “Mientras las tensiones siguen aumentando y disminuyendo en Medio Oriente, creemos que la habilidad de este actor para obtener acceso inicial a entornos objetivo representa un activo valioso para el ecosistema cibern\u00e9tico iran\u00ed que puede explotarse para responder a objetivos cambiantes a medida que cambian las necesidades”, dijeron los investigadores Stav Shulman, Matan Mimran, Sarah Bock y Mark Lechtik.<\/p>\n El desarrollo se produce luego de que el gobierno de Estados Unidos revelara los continuos intentos de los actores de amenazas iran\u00edes de influir y socavar las pr\u00f3ximas elecciones estadounidenses robando material no p\u00fablico de la campa\u00f1a del expresidente Donald Trump.<\/p>\n “A finales de junio y principios de julio, agentes cibern\u00e9ticos maliciosos iran\u00edes enviaron correos electr\u00f3nicos no solicitados a personas asociadas en ese momento con la campa\u00f1a del presidente Biden que conten\u00edan un extracto tomado de material robado y no p\u00fablico de la campa\u00f1a del expresidente Trump como texto en los correos electr\u00f3nicos”, dijo el gobierno. dicho<\/a>.<\/p>\n “Actualmente no hay informaci\u00f3n que indique que los destinatarios hayan respondido. Adem\u00e1s, los ciberdelincuentes iran\u00edes han continuado sus esfuerzos desde junio para enviar material robado y no p\u00fablico asociado con la campa\u00f1a del expresidente Trump a organizaciones de medios estadounidenses”.<\/p>\n La intensificaci\u00f3n de las operaciones cibern\u00e9ticas de Ir\u00e1n contra sus supuestos rivales tambi\u00e9n llega en un momento en que el pa\u00eds se ha vuelto cada vez m\u00e1s activo en la regi\u00f3n de Oriente Medio.<\/p>\n A fines del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirti\u00f3 que la APT iran\u00ed Lemon Sandstorm (tambi\u00e9n conocida como Fox Kitten) hab\u00eda llevado a cabo ataques de ransomware asoci\u00e1ndose clandestinamente con los grupos NoEscape, RansomHouse y BlackCat (tambi\u00e9n conocido como ALPHV).<\/p>\n El an\u00e1lisis de Censys de la infraestructura de ataque del grupo de piratas inform\u00e1ticos ha descubierto desde entonces otros hosts actualmente activos que probablemente formen parte del mismo en funci\u00f3n de puntos en com\u00fan basados \u200b\u200ben geolocalizaci\u00f3n, n\u00fameros de sistemas aut\u00f3nomos (ASN) y patrones id\u00e9nticos de puertos y certificados digitales.<\/p>\n “A pesar de los intentos de ofuscaci\u00f3n, desv\u00edo y aleatoriedad, los humanos a\u00fan deben instanciar, operar y desmantelar la infraestructura digital”, dijo Matt Lembright de Censys. dicho<\/a>.<\/p>\n “Esos humanos, incluso si conf\u00edan en la tecnolog\u00eda para crear aleatoriedad, casi siempre seguir\u00e1n alg\u00fan tipo de patr\u00f3n, ya sean sistemas aut\u00f3nomos similares, geolocalizaciones, proveedores de alojamiento, software, distribuciones de puertos o caracter\u00edsticas de certificados”.<\/p>\n <\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/09\/El-APT-irani-UNC1860-vinculado-al-Ministerio-de-Interior-facilita.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n\n
<\/a><\/div>\n<\/a><\/center><\/section>\n