Amerikaanse instanties waarschuwen voor aanhoudende ransomware-aanvallen van Iraanse hackersgroep

Amerikaanse cyberveiligheids- en inlichtingendiensten hebben een Iraanse hackersgroep aangeklaagd omdat deze meerdere organisaties in het land heeft gehackt en samenwerkt met partners om ransomware te verspreiden.

De activiteiten worden in verband gebracht met een dreigingsactor met de naam Pioneer Kitten, die ook bekend is als Fox Kitten, Lemon Sandstorm (voorheen Rubidium), Parisite en UNC757. Volgens de organisatie heeft de hacker banden met de Iraanse overheid en gebruikt hij een Iraans IT-bedrijf, Danesh Novin Sahand, waarschijnlijk als dekmantel.

“Hun kwaadaardige cyberoperaties zijn gericht op het inzetten van ransomware-aanvallen om netwerktoegang te verkrijgen en te ontwikkelen”, aldus de Cybersecurity and Infrastructure Security Agency (CISA), Federal Bureau of Investigation (FBI) en het Department of Defense Cyber ​​Crime Center (DC3). “Deze operaties helpen kwaadaardige cyberactoren om verder samen te werken met gelieerde actoren om ransomware te blijven inzetten.”

Doelwitten van de aanvallen zijn onder meer het onderwijs, de financiële sector, de gezondheidszorg en de defensie, maar ook lokale overheidsinstanties in de VS. Ook in Israël, Azerbeidzjan en de Verenigde Arabische Emiraten (VAE) zijn inbraken gemeld om gevoelige gegevens te stelen.

Het doel, zo stelden de instanties vast, is om een ​​eerste voet aan de grond te krijgen in slachtoffernetwerken en vervolgens samen te werken met ransomware-partners die verbonden zijn aan NoEscape, RansomHouse en BlackCat (ook bekend als ALPHV) om malware voor het versleutelen van bestanden te implementeren in ruil voor een deel van de illegale opbrengsten. De nationaliteit en herkomst van de daders worden ‘opzettelijk vaag’ gehouden.

Er wordt aangenomen dat de aanvalspogingen al in 2017 zijn begonnen en nog steeds deze maand gaande zijn. De dreigingsactoren, die ook online bekendstaan ​​als Br0k3r en xplfinder, blijken hun toegang tot slachtofferorganisaties op ondergrondse marktplaatsen te gelde te maken, wat de pogingen om hun inkomstenstromen te diversifiëren onderstreept.

“Een aanzienlijk percentage van de op de VS gerichte cyberactiviteiten van de groep is gericht op het verkrijgen en behouden van technische toegang tot slachtoffernetwerken om toekomstige ransomware-aanvallen mogelijk te maken”, merkten de instanties op. “De actoren bieden volledige domeincontroleprivileges, evenals domeinbeheerdersreferenties, aan talloze netwerken wereldwijd.”

“De betrokkenheid van Iraanse cyberactoren bij deze ransomware-aanvallen gaat verder dan het bieden van toegang; ze werken nauw samen met ransomware-partners om de netwerken van slachtoffers te blokkeren en strategieën te bedenken om slachtoffers af te persen.”

De eerste toegang wordt verkregen door gebruik te maken van externe services op internetgerichte activa die kwetsbaar zijn voor eerder bekendgemaakte fouten (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 en CVE-2024-24919). Hierna volgt een reeks stappen om de kwetsbaarheid te behouden, privileges te verhogen en externe toegang in te stellen via hulpmiddelen zoals AnyDesk of de open-source Ligolo-tunnelingtool.

Door de Iraanse staat gesponsorde ransomware-operaties zijn geen nieuw fenomeen. In december 2020 beschreven cybersecuritybedrijven Check Point en ClearSky een hack-and-leak-campagne van Pioneer Kitten genaamd Pay2Key, die specifiek tientallen Israëlische bedrijven uitkoos door bekende beveiligingslekken te exploiteren.

Iraanse hacking

“Het losgeld zelf varieerde tussen de zeven en negen Bitcoin (met een paar gevallen waarin de aanvaller werd teruggebracht tot drie Bitcoin)”, merkte het bedrijf destijds op. “Om slachtoffers onder druk te zetten om te betalen, toont de leksite van Pay2Key gevoelige informatie die is gestolen van de doelorganisaties en worden er dreigementen geuit met verdere lekken als de slachtoffers hun betalingen blijven uitstellen.”

Volgens documenten die begin 2021 door Lab Dookhtegan zijn gelekt, zouden sommige van de ransomware-aanvallen zijn uitgevoerd via een Iraans contractbedrijf genaamd Emennet Pasargad.

De onthulling schetst het beeld van een flexibele groep die opereert met zowel ransomware als cyberespionage als motieven, en die zich aansluit bij andere hackersorganisaties met een dubbel doel, zoals ChamelGang en Moonstone Sleet.

Peach Sandstorm levert Tickler-malware in langlopende campagne

De ontwikkeling komt nadat Microsoft zei dat het de door de Iraanse staat gesponsorde cybercrimineel Peach Sandstorm (ook bekend als APT33, Curious Serpens, Elfin en Refined Kitten) een nieuwe, aangepaste, meertraps backdoor genaamd Tickler heeft zien inzetten bij aanvallen op doelwitten in de sectoren satellieten, communicatieapparatuur, olie en gas, en de federale en deelstaatregeringen in de VS en de VAE tussen april en juli 2024.

Ransomware-aanvallen

“Peach Sandstorm bleef ook wachtwoordsprayaanvallen uitvoeren op de onderwijssector voor de aanschaf van infrastructuur en op de satelliet-, overheids- en defensiesectoren, die de voornaamste doelen zijn voor het verzamelen van inlichtingen”, aldus de techgigant. Het bedrijf voegde eraan toe dat het via LinkedIn inlichtingenverzameling en mogelijke social engineering had gedetecteerd die gericht waren op het hoger onderwijs, de satelliet- en defensiesector.

Deze inspanningen op het professionele netwerkplatform, die in ieder geval teruggaan tot november 2021 en zijn voortgezet tot medio 2024, hebben zich gematerialiseerd in de vorm van valse profielen die zich voordoen als studenten, ontwikkelaars en managers van talentwerving die zogenaamd in de VS en West-Europa wonen.

De wachtwoordsprayaanvallen dienen als kanaal voor de op maat gemaakte Tickler-backdoor met meerdere fasen, die de mogelijkheid biedt om extra payloads te downloaden van een door tegenstanders beheerde Microsoft Azure-infrastructuur, bestandsbewerkingen uit te voeren en systeemgegevens te verzamelen.

Enkele van de aanvallen zijn opmerkelijk omdat ze gebruikmaken van Active Directory (AD) snapshots voor kwaadaardige administratieve acties, Server Message Block (SMB) voor laterale verplaatsing en de AnyDesk remote monitoring and management (RMM) software voor permanente externe toegang.

“Het gemak en de bruikbaarheid van een tool als AnyDesk worden versterkt door het feit dat deze mogelijk wordt toegestaan ​​door toepassingscontroles in omgevingen waar deze legitiem wordt gebruikt door IT-ondersteuningspersoneel of systeembeheerders”, aldus Microsoft.

Peach Sandstorm wordt geacht namens de Iraanse Islamitische Revolutionaire Garde (IRGC) te opereren. Het is bekend dat het al meer dan tien jaar actief is en spionageaanvallen uitvoert op een breed scala aan publieke en private sectordoelen wereldwijd. Recente inbraken gericht op de defensiesector hebben ook een andere backdoor ingezet, genaamd FalseFont.

Iraanse contraspionageoperatie gebruikt HR-lokmiddelen om inlichtingen te verzamelen

In wat bewijs is van de steeds verder uitbreidende Iraanse activiteiten in cyberspace, zei Mandiant, eigendom van Google, dat het een vermoedelijke contraspionageoperatie met betrekking tot Iran heeft ontdekt. ​​Deze operatie is gericht op het verzamelen van gegevens over Iraniërs en binnenlandse bedreigingen die mogelijk samenwerken met vermeende tegenstanders, waaronder Israël.

“De verzamelde gegevens kunnen worden gebruikt om menselijke inlichtingenoperaties (HUMINT) tegen Iran te onthullen en om Iraniërs te vervolgen die ervan verdacht worden betrokken te zijn bij deze operaties,” aldus Mandiant-onderzoekers Ofir Rozmann, Asli Koksal en Sarah Bock. “Dit kunnen Iraanse dissidenten, activisten, mensenrechtenactivisten en Farsi-sprekers zijn die in en buiten Iran wonen.”

De activiteit, aldus het bedrijf, deelt “zwakke overlap” met APT42 en sluit aan bij IRGC’s staat van dienst in het uitvoeren van surveillance-operaties tegen binnenlandse bedreigingen en personen die van belang zijn voor de Iraanse overheid. De campagne is actief sinds 2022.

De kern van de aanval wordt gevormd door een netwerk van ruim 40 nep-wervingswebsites die zich voordoen als Israëlische personeelsbureaus. Deze websites worden vervolgens verspreid via socialemediakanalen zoals X en Virasty om potentiële slachtoffers ertoe te verleiden hun persoonlijke gegevens te delen (zoals naam, geboortedatum, e-mailadres, huisadres, opleiding en beroepservaring).

Deze valse websites, die zich voordoen als Optima HR en Kandovan HR, stellen dat hun vermeende doel is om “werknemers en officieren van de Iraanse inlichtingen- en veiligheidsdiensten te rekruteren” en hebben Telegram-namen die verwijzen naar Israël (IL) in hun namen (bijv. PhantomIL13 en krijgDmIL).

Mandian zei verder dat verdere analyse van de Optima HR-websites leidde tot de ontdekking van een eerdere cluster van nep-wervingswebsites die zich richtten op Farsi- en Arabisch-sprekenden die banden hadden met Syrië en Libanon (Hezbollah). Deze websites vielen tussen 2018 en 2022 onder een ander HR-bedrijf met de naam VIP Human Solutions.

“De campagne werpt een breed net uit door op meerdere sociale mediaplatformen actief te zijn en een netwerk van neppe HR-websites te verspreiden. Op die manier hoopt men Farsi-sprekende personen te ontmaskeren die mogelijk samenwerken met inlichtingen- en veiligheidsdiensten en daardoor worden gezien als een bedreiging voor het Iraanse regime”, aldus Mandiant.

Thijs Van der Does