blank

blank

Os invasores provavelmente ligados ao Irã atacaram uma série de operadoras de telecomunicações no Oriente Médio e na Ásia nos últimos seis meses, além de várias organizações de serviços de TI e uma empresa de serviços públicos.

TAGS: muddywaterseedwormchaferligolokeylogger
ADVERSÁRIO: MuddyWater
INDÚSTRIA: Telecomunicações
PAÍSES ALVO: Irã (Republic Islâmica do Irã)República Democrática Popular do LaosIsraelJordâniaKuwaitArábia SauditaEmirados Árabes UnidosPaquistãoTailândia
ATT&CK IDS: T1199 – Relacionamento confiávelT1027 – Arquivos ou informações ofuscadosT1059 – Intérprete de comandos e scriptsT1056.001 – KeyloggingT1059.001 – PowerShellT1218 – Execução de proxy binário assinadoT1003 – Dumping de credencial de sistema operacionalT1003.001 – Memória LSASS

 

Organizações em Israel, Jordânia, Kuwait, Arábia Saudita, Emirados Árabes Unidos, Paquistão, Tailândia e Laos foram o alvo da campanha, que parece não ter feito uso de malware personalizado e, em vez disso, contou com uma mistura de ferramentas legítimas, disponíveis publicamente malware e táticas de living-off-the-land tactics. Embora a identidade dos atacantes permaneça não confirmada, há algumas evidências que sugerem uma ligação com o grupo Iranian Seedworm (também conhecido como MuddyWater). A seleção de alvos e as táticas são consistentes com os atores patrocinados pelo Irã.

Contorno de ataque

Depois de violar uma rede direcionada, os invasores geralmente tentam roubar credenciais e mover-se lateralmente pela rede. Eles parecem estar particularmente interessados ​​em servidores Exchange, implantando shells da web neles. Em alguns casos, os invasores podem estar usando organizações comprometidas como trampolins para vítimas adicionais. Além disso, alguns alvos podem ter sido comprometidos apenas para executar ataques do tipo cadeia de suprimentos em outras organizações.

Na maioria dos ataques, o vetor de infecção é desconhecido. A evidência de um possível vetor foi encontrada em apenas um alvo. Um MSI de configuração suspeita do ScreenConnect parecia ter sido entregue em um arquivo compactado chamado “Special discount program.zip”, sugerindo que chegou em um e-mail de spear-phishing.

Ataque de telecomunicações

Em um ataque contra uma empresa de telecomunicações no Oriente Médio, que começou em agosto de 2021, a primeira evidência de comprometimento foi a criação de um serviço para lançar um arquivo de script do Windows (WSF) desconhecido. Os scripts foram então usados ​​para emitir vários comandos de domínio, descoberta de usuário e descoberta de serviço remoto.

Os invasores usaram o PowerShell para baixar outro WSF e executá-lo. O grupo de rede foi usado para consultar o grupo de domínio “subsistema confiável de troca”.

Os invasores usaram o Certutil para baixar uma suspeita ferramenta de túnel Ligolo e iniciar o WMI, que foi usado para fazer com que máquinas remotas realizassem as seguintes tarefas:

  • Execute Certutil para baixar um arquivo desconhecido
  • Execute Certutil para baixar um arquivo WSF desconhecido e execute Wscript para iniciar este script
  • Execute o PowerShell para baixar e executar o conteúdo
  • Execute o PowerShell para baixar um shell da web suspeito para um Exchange Server

Com base nos dados da linhagem do processo, os invasores pareciam usar scripts extensivamente. Eles podem ser scripts automatizados usados ​​para coletar informações e baixar ferramentas adicionais. No entanto, em uma instância, um comando pede ajuda ao cURL, sugerindo que pode ter havido pelo menos alguma atividade prática no teclado por parte dos invasores.

Os invasores então usaram uma ferramenta de acesso remoto, que se acredita ser o eHorus, para realizar as seguintes tarefas:

  • Entregar e executar uma ferramenta de despejo suspeita de serviço de subsistema de autoridade de segurança local (LSASS)
  • Entregue o que se acredita serem ferramentas de tunelamento Ligolo
  • Execute Certutil para solicitar um URL do Exchange Web Services (EWS) do que parece ser outras organizações visadas

Uma característica desse ataque contra uma organização de telecomunicações é que os invasores podem ter tentado se mover para outros alvos conectando-se aos Exchange Web Services (EWS) de outras organizações, outra operadora de telecomunicações e uma empresa de equipamentos eletrônicos na mesma região. Os seguintes comandos foram usados:

  • certutil.exe -urlcache –split [DASH] f hxxps://[REDACTED]/ews/exchange[.]asmx
  • certutil.exe -urlcache -split [DASH] f hxxps://webmail.[REDACTED][.]com/ews

Não está claro qual é a intenção dessas solicitações. É possível que os invasores estivessem tentando verificar a conectividade com essas organizações.

Possível ataque à cadeia de suprimentos

Um alvo que parecia ser um outlier era uma empresa de serviços públicos no Laos. O vetor de infecção pode ter sido a exploração de um serviço público, já que a primeira máquina que parecia estar comprometida foi um servidor da web IIS. A atividade suspeita também tinha w3wp.exe na linhagem do processo.

Os invasores então usaram o PowerShell para:

  • Baixe uma suspeita ferramenta de tunelamento Ligolo
  • Baixe um script desconhecido do PowerShell
  • Baixe um arquivo XLS desconhecido

Os invasores então usaram o PowerShell para se conectar a um servidor de webmail de uma organização na Tailândia. Eles também tentaram se conectar a servidores relacionados a TI pertencentes a outra empresa na Tailândia.

Para facilitar o roubo de credenciais, o WMI foi usado para executar o PowerShell para modificar o registro para armazenar senhas em texto simples na memória. Além disso, uma versão ofuscada da ferramenta CrackMapExec publicamente disponível parecia ser implantada.

Conjunto de ferramentas

Os invasores fizeram uso intenso de ferramentas legítimas e ferramentas de hacking disponíveis publicamente. Esses incluem:

  • ScreenConnect: ferramenta legítima de administração remota
  • RemoteUtilities: ferramenta legítima de administração remota
  • eHorus: ferramenta legítima de administração remota
  • Ligolo: ferramenta de tunelamento reverso
  • Hidec: ferramenta de linha de comando para executar uma janela oculta
  • Nping: ferramenta de geração de pacotes
  • LSASS Dumper: ferramenta que despeja credenciais do processo LSASS (Local Security Authority Subsystem Service)
  • SharpChisel: ferramenta de tunelamento
  • Dumper de senha
  • CrackMapExec: ferramenta publicamente disponível que é usada para automatizar a avaliação de segurança de um ambiente Active Directory
  • ProcDump: ferramenta Microsoft Sysinternals para monitorar um aplicativo quanto a picos de CPU e gerar despejos de memória, mas que também pode ser usada como um utilitário de despejo de processo geral
  • Servidor proxy SOCKS5: ferramenta de encapsulamento
  • Keylogger: recupera credenciais do navegador
  • Mimikatz: ferramenta de descarte de credencial disponível ao público

Link Seedworm?

Há algumas evidências que sugerem que o grupo Iranian Seedworm foi responsável por esses ataques. Dois endereços IP usados ​​nesta campanha foram previamente vinculados à atividade do Seedworm. No entanto, Seedworm é conhecido por mudar regularmente sua infraestrutura, o que significa que uma atribuição conclusiva não pode ser feita.

Também há alguma sobreposição de ferramentas entre esta campanha e as campanhas anteriores do Seedworm. ScreenConnect, RemoteUtilities, SharpChisel, Ligolo, ProcDump e Password Dumper foram todos referenciados pela Trend Micro em um blog de março de 2021 sobre a atividade do Seedworm.

No caso de duas ferramentas – SharpChisel e Password Dumper – foram usadas nesta campanha versões idênticas às documentadas pela Trend.

Campanha focada

Se esses ataques estiverem ligados ao Irã, não será a primeira vez que um ator ameaçador iraniano terá como alvo o setor de telecomunicações. Em 2018, a Symantec revelou que o grupo Chafer havia se comprometido com um grande provedor de serviços de telecomunicações no Oriente Médio.

Embora o objetivo final da campanha permaneça desconhecido, o foco nas operadoras de telecomunicações sugere que os invasores estão coletando informações sobre o setor e possivelmente tentando espionar as comunicações.

Indicadores de compromisso

ae5d0ad47328b85e4876706c95d785a3c1387a11f9336844c39e75c7504ba365 – Ligolo

e0873e15c7fb848c1be8dc742481b40f9887f8152469908c9d65930e0641aa6b – Ligolo

22e7528e56dffaa26cfe722994655686c90824b13eb51184abfe44d4e95d473f – Hidec

b0b97c630c153bde90ffeefc4ab79e76aaf2f4fd73b8a242db56cc27920c5a27 – Nping

b15dcb62dee1a8499b8ac63064a282a06abf0f7d0302c5e356cdb0c7b78415a9 – LSASS Dumper

61f83466b512eb12fc82441259a5205f076254546a7726a2e3e983011898e4e2 – SharpChisel

ccdddd1ebf3c5de2e68b4dcb8fbc7d4ed32e8f39f6fdf71ac022a7b4d0aa4131 – Dumper de senha

facb00c8dc1b7ed209507d7c56d18b2c542c4e0b2986b9bfaf1764d8e252576b – CrackMapExec

1a107c3ece1880cbbdc0a6c0817624b0dd033b02ebaf7fa366306aaca22c103d – ProcDump

916cc8d6bf2282ae0d2db587f4f96780af59e685a1f1a511e0b2b276669dc802 – ProcDump

e2a7a9a803c6a4d2d503bb78a73cd9951e901beb5fb450a2821eaf740fc48496 – ProcDump

f6600e5d5c91ed30d8203ef2bd173ed0bc431453a31c03bc363b89f77e50d4c5 – servidor proxy SOCKS5

6d73c0bcdf1274aeb13e5ba85ab83ec00345d3b7f3bb861d1585be1f6ccda0c5 – Keylogger

912018ab3c6b16b39ee84f17745ff0c80a33cee241013ec35d0281e40c0658d9 – Mimikatz

96632f716df30af567da00d3624e245d162d0a05ac4b4e7cbadf63f04ca8d3da – Mimikatz

bee3d0ac0967389571ea8e3a8c0502306b3dbf009e8155f00a2829417ac079fc – Mimikatz

d9770865ea739a8f1702a2651538f4f4de2d92888d188d8ace2c79936f9c2688 – Mimikatz

 

Fonte: Symantec

Descubra mais sobre DCiber

Assine para receber os posts mais recentes por e-mail.

ARTIGOS RELACIONADOSMais do autor