Ein iranischer Akteur für Advanced Persistent Threat (APT), der wahrscheinlich mit dem Ministerium für Geheimdienste und Sicherheit (MOIS) in Verbindung steht, fungiert nun als Vermittler für den ersten Zugriff und bietet Fernzugriff auf Zielnetzwerke.
Mandiant, ein Unternehmen von Google, verfolgt den Aktivitätscluster unter dem Namen UNC1860, der Ähnlichkeiten mit Angriffsgruppen aufweist, die von Microsoft, Cisco Talos und Check Point als Storm-0861 (ehemals DEV-0861), ShroudedSnooper bzw. Scarred Manticore verfolgt werden.
„Ein Hauptmerkmal von UNC1860 ist seine Sammlung von spezialisierten Tools und passiven Backdoors, die […] mehrere Ziele unterstützen, darunter seine Rolle als wahrscheinlicher Anbieter des ersten Zugriffs und seine Fähigkeit, dauerhaften Zugriff auf Netzwerke mit hoher Priorität zu erhalten, wie z. B. solche in der Regierung und im Telekommunikationsbereich im gesamten Nahen Osten“, so das Unternehmen.
Die Gruppe trat erstmals im Juli 2022 im Zusammenhang mit destruktiven Cyberangriffen auf Albanien mit einer Ransomware-Variante namens ROADSWEEP, der Backdoor CHIMNEYSWEEP und einer Variante des ZEROCLEAR-Wipers (auch bekannt als Cl Wiper) in Erscheinung. Nachfolgende Angriffe in Albanien und Israel nutzten neue Wiper namens No-Justice und BiBi (auch bekannt als BABYWIPER).
Mandiant beschrieb UNC1860 als einen „gewaltigen Bedrohungsakteur“, der über ein Arsenal an passiven Backdoors verfügt, die darauf ausgelegt sind, Fußstapfen in Opfernetzwerken zu erhalten und langfristigen Zugriff zu ermöglichen, ohne Aufmerksamkeit zu erregen.
Zu den Tools gehören zwei über eine grafische Benutzeroberfläche (GUI) bediente Malware-Controller mit den Namen TEMPLEPLAY und VIROGREEN, die anderen mit dem MOIS in Verbindung stehenden Bedrohungsakteuren per Remotedesktopprotokoll (RDP) Fernzugriff auf die Umgebungen der Opfer ermöglichen sollen.
Insbesondere sind diese Controller so konzipiert, dass sie Drittanbietern eine Schnittstelle bieten, die Anweisungen zur Bereitstellung benutzerdefinierter Nutzdaten und zur Durchführung von Post-Exploitation-Aktivitäten wie z. B. internen Scans innerhalb des Zielnetzwerks enthält.
Mandiant gab an, Überschneidungen zwischen UNC1860 und APT34 (auch bekannt als Hazel Sandstorm, Helix Kitten und OilRig) festgestellt zu haben, da Organisationen, die 2019 und 2020 von letzterem kompromittiert wurden, zuvor von UNC1860 infiltriert wurden und umgekehrt. Darüber hinaus wurde beobachtet, wie beide Cluster auf Ziele im Irak auswichen, wie kürzlich von Check Point hervorgehoben wurde.
Die Angriffsketten beinhalten die Nutzung des ersten Zugriffs, der durch die opportunistische Ausnutzung anfälliger, mit dem Internet verbundener Server erlangt wurde, um Webshells und Dropper wie STAYSHANTE und SASHEYAWAY zu platzieren, wobei letztere zur Ausführung von Implantaten wie TEMPLEDOOR, FACEFACE und SPARKLOAD führen, die darin eingebettet sind.
„VIROGREEN ist ein benutzerdefiniertes Framework, das zur Ausnutzung anfälliger SharePoint-Server mit CVE-2019-0604 verwendet wird“, so die Forscher und fügten hinzu, dass es STAYSHANTE zusammen mit einer Backdoor namens BASEWALK steuert.
„Das Framework bietet Post-Exploitation-Funktionen wie […] die Steuerung von Post-Exploitation-Nutzdaten, Backdoors (einschließlich der STAYSHANTE-Webshell und der BASEWALK-Backdoor) und Tasking; die Steuerung eines kompatiblen Agenten, unabhängig davon, wie der Agent implantiert wurde; und die Ausführung von Befehlen und das Hoch- und Herunterladen von Dateien.
TEMPLEPLAY (interner Name Client Http) dient seinerseits als .NET-basierter Controller für TEMPLEDOOR. Es unterstützt Backdoor-Anweisungen zur Ausführung von Befehlen über cmd.exe, zum Hoch- und Herunterladen von Dateien vom und zum infizierten Host und zur Proxy-Verbindung zu einem Zielserver.
Es wird vermutet, dass der Angreifer über eine vielfältige Sammlung passiver Tools und Backdoors für die Hauptphase verfügt, die auf seine Ziele in Bezug auf ersten Zugriff, laterale Bewegung und Informationsbeschaffung abgestimmt sind.
Einige der anderen von Mandiant dokumentierten Tools sind im Folgenden aufgeführt:
OATBOAT, ein Loader, der Shellcode-Nutzdaten lädt und ausführt
TOFUDRV, ein schädlicher Windows-Treiber, der sich mit WINTAPIX überschneidet
TOFULOAD, ein passives Implantat, das undokumentierte Eingabe-/Ausgabe-Steuerbefehle (IOCTL) für die Kommunikation verwendet
TEMPLEDROP, eine umfunktionierte Version eines iranischen Antiviren-Dateisystemfiltertreibers namens Sheed AV, der zum Schutz der von ihm bereitgestellten Dateien vor Modifikationen verwendet wird
TEMPLELOCK, ein .NET-Tool zur Umgehung der Verteidigung, das in der Lage ist, den Windows-Ereignisprotokolldienst zu beenden
TUNNELBOI, ein Netzwerkcontroller, der in der Lage ist, eine Verbindung zu einem Remote-Host herzustellen und RDP-Verbindungen zu verwalten
„Da die Spannungen im Nahen Osten weiter schwanken, glauben wir, dass die Fähigkeit dieses Akteurs, sich ersten Zugriff auf Zielumgebungen zu verschaffen, ein wertvolles Gut für das iranische Cyber-Ökosystem darstellt, das zur Erreichung sich entwickelnder Ziele genutzt werden kann, wenn sich die Bedürfnisse ändern“, sagten die Forscher Stav Shulman, Matan Mimran, Sarah Bock und Mark Lechtik.
Die Entwicklung erfolgt zu einem Zeitpunkt, an dem die US-Regierung aufdeckte, dass iranische Bedrohungsakteure versuchen, die bevorstehenden US-Wahlen zu beeinflussen und zu untergraben, indem sie nicht öffentliches Material aus dem Wahlkampf des ehemaligen Präsidenten Donald Trump stehlen.
„Iranische böswillige Cyberakteure haben Ende Juni und Anfang Juli unaufgefordert E-Mails an Personen geschickt, die damals mit dem Wahlkampf von Präsident Biden in Verbindung standen, die einen Auszug aus gestohlenem, nicht öffentlichem Material aus dem Wahlkampf des ehemaligen Präsidenten Trump als Text in den E-Mails enthielten“, sagte die Regierung.
„Derzeit gibt es keine Informationen darüber, dass diese Empfänger geantwortet haben. Darüber hinaus haben iranische böswillige Cyberakteure ihre Bemühungen seit Juni fortgesetzt, gestohlenes, nicht öffentliches Material im Zusammenhang mit dem Wahlkampf des ehemaligen Präsidenten Trump an US-Medienorganisationen zu senden.“
Die Verstärkung der iranischen Cyberoperationen gegen seine vermeintlichen Rivalen fällt auch mit einer Zeit zusammen, in der das Land im Nahen Osten immer aktiver geworden ist.
Ende letzten Monats warnte die US-Cybersicherheits- und Infrastruktursicherheitsbehörde (CISA), dass die iranische APT Lemon Sandstorm (auch bekannt als Fox Kitten) Ransomware-Angriffe durchgeführt hat, indem sie heimlich mit den Gruppen NoEscape, RansomHouse und BlackCat (auch bekannt als ALPHV) zusammengearbeitet hat.
Die Analyse der Angriffsinfrastruktur der Hackergruppe durch Censys hat seitdem weitere, derzeit aktive Hosts aufgedeckt, die aufgrund von Gemeinsamkeiten in Bezug auf Geolokalisierung, Autonomous System Numbers (ASNs) und identische Muster von Ports und digitalen Zertifikaten wahrscheinlich Teil davon sind.
„Trotz aller Versuche der Verschleierung, Ablenkung und Zufälligkeit müssen Menschen digitale Infrastruktur immer noch instanziieren, betreiben und stilllegen“, sagte Matt Lembright von Censys.
„Diese Menschen, selbst wenn sie sich bei der Erzeugung von Zufälligkeit auf Technologie verlassen, werden fast immer einem bestimmten Muster folgen, sei es bei ähnlichen autonomen Systemen, Geolokalisierungen, Hosting-Providern, Software, Portverteilungen oder Zertifikatsmerkmalen.“