Un actor iraní de amenazas persistentes avanzadas (APT) probablemente afiliado al Ministerio de Inteligencia y Seguridad (MOIS) está actuando ahora como un facilitador de acceso inicial que proporciona acceso remoto a las redes objetivo. Mandiant, propiedad de Google, está rastreando el grupo de actividad bajo el nombre UNC1860, que según dijo comparte similitudes con los conjuntos de intrusiones rastreados por Microsoft, Cisco Talos y Check Point como Storm-0861 (anteriormente DEV-0861), ShroudedSnooper y Scarred Manticore, respectivamente. «Una característica clave de UNC1860 es su colección de herramientas especializadas y puertas traseras pasivas que […] «El grupo apoya varios objetivos, incluido su papel como probable proveedor de acceso inicial y su capacidad para obtener acceso persistente a redes de alta prioridad, como las del gobierno y el espacio de telecomunicaciones en todo Oriente Medio», dijo la empresa. El grupo salió a la luz por primera vez en julio de 2022 en relación con los ciberataques destructivos dirigidos a Albania con una cepa de ransomware llamada ROADSWEEP, la puerta trasera CHIMNEYSWEEP y una variante de limpiador ZEROCLEAR (también conocida como Cl Wiper), con intrusiones posteriores en Albania e Israel aprovechando nuevos limpiadores denominados No-Justice y BiBi (también conocido como BABYWIPER). Mandiant describió a UNC1860 como un «formidable actor de amenazas» que mantiene un arsenal de puertas traseras pasivas diseñadas para obtener puntos de apoyo en las redes de las víctimas y establecer un acceso a largo plazo sin llamar la atención. Entre estas herramientas se incluyen dos controladores de malware operados por GUI rastreados como TEMPLEPLAY y VIROGREEN, que se dice que brindan a otros actores de amenazas asociados a MOIS acceso remoto a los entornos de las víctimas mediante el protocolo de escritorio remoto. (RDP). Específicamente, estos controladores están diseñados para proporcionar a los operadores de terceros una interfaz que ofrece instrucciones sobre las formas en que se pueden implementar cargas útiles personalizadas y se pueden llevar a cabo actividades posteriores a la explotación, como el escaneo interno, dentro de la red objetivo. Mandiant dijo que identificó superposiciones entre UNC1860 y APT34 (también conocido como Hazel Sandstorm, Helix Kitten y OilRig) en el sentido de que las organizaciones comprometidas por este último en 2019 y 2020 fueron infiltradas previamente por UNC1860, y viceversa. Además, se ha observado que ambos clústeres pivotan hacia objetivos con base en Irak, como lo destacó recientemente Check Point. Las cadenas de ataque implican aprovechar el acceso inicial obtenido mediante la explotación oportunista de servidores vulnerables que dan a Internet para colocar shells web y droppers como STAYSHANTE y SASHEYAWAY, y este último conduce a la ejecución de implantes, como TEMPLEDOOR, FACEFACE y SPARKLOAD, que están integrados en él. «VIROGREEN es un marco personalizado que se utiliza para explotar servidores SharePoint vulnerables con CVE-2019-0604», dijeron los investigadores, y agregaron que controla STAYSHANTE, junto con una puerta trasera conocida como BASEWALK. «El marco proporciona capacidades posteriores a la explotación que incluyen […] controlar las cargas útiles posteriores a la explotación, las puertas traseras (incluido el shell web STAYSHANTE y la puerta trasera BASEWALK) y la asignación de tareas; controlar un agente compatible independientemente de cómo se haya implantado el agente; y ejecutar comandos y cargar/descargar archivos. TEMPLEPLAY (denominado internamente Client Http), por su parte, sirve como el controlador basado en .NET para TEMPLEDOOR. Admite instrucciones de puerta trasera para ejecutar comandos a través de cmd.exe, cargar/descargar archivos desde y hacia el host infectado y conexión proxy a un servidor objetivo. Se cree que el adversario tiene en su posesión una colección diversa de herramientas pasivas y puertas traseras de escenario principal que se alinean con su acceso inicial, movimiento lateral y objetivos de recopilación de información. Algunas de las otras herramientas notables documentadas por Mandiant se enumeran a continuación: OATBOAT, un cargador que carga y ejecuta cargas útiles de shellcode TOFUDRV, un controlador malicioso de Windows que se superpone con WINTAPIX TOFULOAD, un implante pasivo que emplea comandos de control de entrada/salida (IOCTL) no documentados para la comunicación TEMPLEDROP, una versión reutilizada de un controlador de filtro del sistema de archivos de Windows de software antivirus iraní llamado Sheed AV que se utiliza para proteger los archivos que implementa de modificaciones TEMPLELOCK, una utilidad de evasión de defensa .NET que es capaz de matar el servicio de registro de eventos de Windows TUNNELBOI, un controlador de red capaz de establecer una conexión con un host remoto y administrar conexiones RDP «A medida que las tensiones continúan aumentando y disminuyendo en Medio Oriente, creemos que la destreza de este actor para obtener acceso inicial a los entornos objetivo representa un activo valioso para el ecosistema cibernético iraní que puede explotarse para responder a objetivos en evolución a medida que cambian las necesidades», dijeron los investigadores Stav Shulman, Matan Mimran, Sarah Bock y Mark El gobierno de Estados Unidos reveló que los actores cibernéticos iraníes están intentando influir y socavar las próximas elecciones estadounidenses robando material no público de la campaña del expresidente Donald Trump. «A finales de junio y principios de julio, los actores cibernéticos iraníes enviaron correos electrónicos no solicitados a personas asociadas en ese momento con la campaña del presidente Biden que contenían un extracto tomado de material no público robado de la campaña del expresidente Trump como texto en los correos electrónicos», dijo el gobierno. «Actualmente no hay información que indique que esos destinatarios respondieron. Además, los actores cibernéticos iraníes han continuado sus esfuerzos desde junio para enviar material no público robado asociado con la campaña del expresidente Trump a organizaciones de medios estadounidenses». La intensificación de las operaciones cibernéticas de Irán contra sus supuestos rivales también se produce en un momento en que el país se ha vuelto cada vez más activo en la región de Oriente Medio. El mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) advirtió que el APT iraní Lemon Sandstorm (también conocido como Fox Kitten) ha llevado a cabo ataques de ransomware al asociarse clandestinamente con los equipos de NoEscape, RansomHouse y BlackCat (también conocido como ALPHV). El análisis de Censys de la infraestructura de ataque del grupo de piratas informáticos ha descubierto otros hosts actualmente activos que probablemente sean parte de él en función de puntos en común basados ​​en la geolocalización, números de sistemas autónomos (ASN) y patrones idénticos de puertos y certificados digitales. «A pesar de los intentos de ofuscación, desvío y aleatoriedad, los humanos aún deben instanciar, operar y desmantelar la infraestructura digital», dijo Matt Lembright de Censys. «Esos humanos, incluso si confían en la tecnología para crear aleatoriedad, casi siempre seguirán algún tipo de patrón, ya sean sistemas autónomos similares, geolocalizaciones, proveedores de alojamiento, software, distribuciones de puertos o características de certificados». ¿Le resultó interesante este artículo? Síganos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.