Un acteur iranien de menace persistante avancée (APT) probablement affilié au ministère du Renseignement et de la Sécurité (MOIS) agit désormais en tant que facilitateur d’accès initial qui fournit un accès à distance aux réseaux cibles.
Mandiant, propriété de Google, suit le groupe d’activité sous le nom UNC1860qui, selon lui, partage des similitudes avec les ensembles d’intrusion suivis par Microsoft, Cisco Talos et Check Point sous les noms Storm-0861 (anciennement DEV-0861), ShroudedSnooper et Scarred Manticore, respectivement.
« Une caractéristique clé de l’UNC1860 est sa collection d’outils spécialisés et de portes dérobées passives qui […] « Soutient plusieurs objectifs, notamment son rôle de fournisseur d’accès initial probable et sa capacité à obtenir un accès permanent aux réseaux hautement prioritaires, tels que ceux du gouvernement et de l’espace des télécommunications dans tout le Moyen-Orient », a déclaré la société. dit.
Le groupe est apparu pour la première fois en juillet 2022 dans le cadre de cyberattaques destructrices ciblant l’Albanie avec une souche de ransomware appelée ROADSWEEP, la porte dérobée CHIMNEYSWEEP et une variante d’essuie-glace ZEROCLEAR (alias Cl Wiper), avec des intrusions ultérieures en Albanie et en Israël exploitant de nouveaux essuie-glaces baptisés No-Justice et BiBi (alias BABYWIPER).
Mandiant a décrit UNC1860 comme un « acteur de menace redoutable » qui maintient un arsenal de portes dérobées passives conçues pour obtenir des points d’accès dans les réseaux des victimes et établir un accès à long terme sans attirer l’attention.
Parmi les outils figurent deux contrôleurs de logiciels malveillants exploités par une interface graphique utilisateur, appelés TEMPLEPLAY et VIROGREEN, qui fourniraient à d’autres acteurs de la menace associés à MOIS un accès à distance aux environnements des victimes à l’aide du protocole de bureau à distance (RDP).
Plus précisément, ces contrôleurs sont conçus pour fournir aux opérateurs tiers une interface qui offre des instructions sur la manière dont les charges utiles personnalisées peuvent être déployées et les activités de post-exploitation telles que l’analyse interne peuvent être effectuées au sein du réseau cible.
Mandiant a déclaré avoir identifié des chevauchements entre UNC1860 et APT34 (alias Hazel Sandstorm, Helix Kitten et OilRig) dans la mesure où les organisations compromises par ce dernier en 2019 et 2020 avaient été précédemment infiltrées par UNC1860, et vice versa. De plus, les deux groupes ont été observés en train de pivoter vers des cibles basées en Irak, comme l’a récemment souligné Check Point.
Les chaînes d’attaque impliquent l’exploitation de l’accès initial obtenu par l’exploitation opportuniste de serveurs Internet vulnérables pour déposer des shells Web et des droppers comme STAYSHANTE et SASHEYAWAY, ce dernier conduisant à l’exécution d’implants, tels que TEMPLEDOOR, FACEFACE et SPARKLOAD, qui y sont intégrés.
« VIROGREEN est un framework personnalisé utilisé pour exploiter les serveurs SharePoint vulnérables avec CVE-2019-0604« , ont déclaré les chercheurs, ajoutant qu’il contrôle STAYSHANTE, ainsi qu’une porte dérobée appelée BASEWALK.
« Le cadre fournit des capacités de post-exploitation, notamment […] contrôler les charges utiles post-exploitation, les portes dérobées (y compris le shell Web STAYSHANTE et la porte dérobée BASEWALK) et les tâches ; contrôler un agent compatible quelle que soit la manière dont l’agent a été implanté ; et exécuter des commandes et télécharger/télécharger des fichiers.
TEMPLEPLAY (nommé en interne Client Http), quant à lui, sert de contrôleur basé sur .NET pour TEMPLEDOOR. Il prend en charge les instructions de porte dérobée pour l’exécution de commandes via cmd.exe, le téléchargement de fichiers depuis et vers l’hôte infecté et la connexion proxy à un serveur cible.
On pense que l’adversaire possède une collection diversifiée d’outils passifs et de portes dérobées principales qui correspondent à ses objectifs d’accès initial, de mouvement latéral et de collecte d’informations.
Certains des autres outils remarquables documentés par Mandiant sont répertoriés ci-dessous :
- OATBOAT, un chargeur qui charge et exécute des charges utiles de shellcode
- TOFUDRV, un pilote Windows malveillant qui chevauche WINTAPIX
- TOFULOAD, un implant passif qui utilise des commandes de contrôle d’entrée/sortie (IOCTL) non documentées pour la communication
- TEMPLEDROP, une version réutilisée d’un pilote de filtre de système de fichiers Windows d’un logiciel antivirus iranien nommé Sheed AV qui est utilisé pour protéger les fichiers qu’il déploie contre toute modification
- TEMPLELOCK, un utilitaire d’évasion de défense .NET capable de tuer le service de journal des événements Windows
- TUNNELBOI, un contrôleur de réseau capable d’établir une connexion avec un hôte distant et de gérer les connexions RDP
« Alors que les tensions continuent de monter et de descendre au Moyen-Orient, nous pensons que l’aptitude de cet acteur à obtenir un accès initial aux environnements cibles représente un atout précieux pour l’écosystème cybernétique iranien qui peut être exploité pour répondre à des objectifs en constante évolution à mesure que les besoins évoluent », ont déclaré les chercheurs Stav Shulman, Matan Mimran, Sarah Bock et Mark Lechtik.
Cette évolution intervient alors que le gouvernement américain a révélé les tentatives continues des acteurs de la menace iranienne d’influencer et de saper les prochaines élections américaines en volant du matériel non public de la campagne de l’ancien président Donald Trump.
« Des cyberacteurs iraniens malveillants ont envoyé fin juin et début juillet des courriels non sollicités à des personnes alors associées à la campagne du président Biden, qui contenaient un extrait de documents volés et non publics de la campagne de l’ancien président Trump sous forme de texte dans les courriels », a indiqué le gouvernement. dit.
« Il n’existe actuellement aucune information indiquant que les destinataires ont répondu. En outre, les cyberacteurs iraniens malveillants poursuivent leurs efforts depuis juin pour envoyer des documents volés et non publics associés à la campagne de l’ancien président Trump aux médias américains. »
L’intensification des cyberopérations de l’Iran contre ses rivaux présumés intervient également à un moment où le pays devient de plus en plus actif dans la région du Moyen-Orient.
Fin du mois dernier, l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti que l’APT iranien Lemon Sandstorm (alias Fox Kitten) avait mené des attaques de ransomware en s’associant clandestinement aux groupes NoEscape, RansomHouse et BlackCat (alias ALPHV).
L’analyse de Censys sur l’infrastructure d’attaque du groupe de pirates informatiques a depuis révélé d’autres hôtes actuellement actifs qui en font probablement partie en raison de points communs basés sur la géolocalisation, les numéros de système autonome (ASN) et des modèles identiques de ports et de certificats numériques.
« Malgré les tentatives d’obscurcissement, de diversion et d’aléatoire, les humains doivent toujours instancier, exploiter et décommissionner l’infrastructure numérique », a déclaré Matt Lembright de Censys. dit.
« Ces humains, même s’ils s’appuient sur la technologie pour créer une randomisation, suivront presque toujours une sorte de modèle, qu’il s’agisse de systèmes autonomes similaires, de géolocalisations, de fournisseurs d’hébergement, de logiciels, de distributions de ports ou de caractéristiques de certificats. »