Iraanse APT UNC1860 gekoppeld aan MOIS faciliteert cyberinbraken in het Midden-Oosten

Een Iraanse APT-dreigingsactor (Advanced Persistent Threat) die waarschijnlijk banden heeft met het Ministerie van Inlichtingen en Veiligheid (MOIS), fungeert nu als een initiële toegangsfacilitator die op afstand toegang biedt tot doelnetwerken.

Mandiant, eigendom van Google, houdt de activiteitencluster bij onder de naam UNC1860waarvan het bedrijf zei dat het overeenkomsten vertoont met intrusiesets die door Microsoft, Cisco Talos en Check Point worden gevolgd als respectievelijk Storm-0861 (voorheen DEV-0861), ShroudedSnooper en Scarred Manticore.

“Een belangrijk kenmerk van UNC1860 is de verzameling gespecialiseerde tools en passieve backdoors die (…) verschillende doelstellingen ondersteunen, waaronder de rol als waarschijnlijke initiële toegangsprovider en het vermogen om permanente toegang te verkrijgen tot netwerken met hoge prioriteit, zoals die in de overheids- en telecommunicatiesector in het hele Midden-Oosten”, aldus het bedrijf.

De groep kwam voor het eerst aan het licht in juli 2022 in verband met destructieve cyberaanvallen op Albanië met een ransomware-variant genaamd ROADSWEEP, de CHIMNEYSWEEP-backdoor en een ZEROCLEAR-wipervariant (ook bekend als Cl Wiper). Vervolgens werden inbraken gepleegd in Albanië en Israël met behulp van nieuwe wipers genaamd No-Justice en BiBi (ook bekend als BABYWIPER).

Mandiant beschreef UNC1860 als een “formidabele bedreigingsactor” die een arsenaal aan passieve achterdeurtjes onderhoudt die zijn ontworpen om voet aan de grond te krijgen in de netwerken van slachtoffers en om op de lange termijn toegang te krijgen zonder de aandacht te trekken.

Tot de tools behoren twee GUI-gestuurde malware-controllers, TEMPLEPLAY en VIROGREEN genaamd, die andere MOIS-gerelateerde dreigingsactoren toegang op afstand tot de omgeving van hun slachtoffers bieden met behulp van het Remote Desktop Protocol (RDP).

Deze controllers zijn specifiek ontworpen om externe operators een interface te bieden met instructies over de manier waarop aangepaste payloads kunnen worden geïmplementeerd en post-exploitatieactiviteiten, zoals interne scanning, kunnen worden uitgevoerd binnen het doelnetwerk.

Mandiant zei dat het overlappingen identificeerde tussen UNC1860 en APT34 (ook bekend als Hazel Sandstorm, Helix Kitten en OilRig) in die zin dat organisaties die in 2019 en 2020 door laatstgenoemde werden gecompromitteerd, eerder werden geïnfiltreerd door UNC1860, en vice versa. Bovendien is waargenomen dat beide clusters zich richten op doelen in Irak, zoals onlangs werd benadrukt door Check Point.

De aanvalsketens maken gebruik van de initiële toegang die is verkregen door opportunistisch misbruik van kwetsbare servers met toegang tot het internet om web shells en droppers zoals STAYSHANTE en SASHEYAWAY te plaatsen. De laatste leiden tot de uitvoering van implantaten, zoals TEMPLEDOOR, FACEFACE en SPARKLOAD, die erin zijn ingebed.

“VIROGREEN is een aangepast framework dat wordt gebruikt om kwetsbare SharePoint-servers met CVE-2019-0604 te exploiteren”, aldus de onderzoekers. Ze voegden toe dat het STAYSHANTE beheert, samen met een backdoor die BASEWALK wordt genoemd.

“Het raamwerk biedt mogelijkheden voor na-exploitatie, waaronder (…) het besturen van na-exploitatie-payloads, backdoors (waaronder de STAYSHANTE-webshell en de BASEWALK-backdoor) en tasking; het besturen van een compatibele agent, ongeacht hoe de agent is geïmplanteerd; en het uitvoeren van opdrachten en het uploaden/downloaden van bestanden.

TEMPLEPLAY (intern Client Http genoemd) fungeert op zijn beurt als de .NET-gebaseerde controller voor TEMPLEDOOR. Het ondersteunt backdoor-instructies voor het uitvoeren van opdrachten via cmd.exe, het uploaden/downloaden van bestanden van en naar de geïnfecteerde host en proxyverbinding met een doelserver.

Iraanse APT UNC1860

Er wordt aangenomen dat de tegenstander over een diverse verzameling passieve hulpmiddelen en belangrijke achterdeurtjes beschikt die aansluiten bij zijn initiële toegangs-, laterale bewegings- en informatieverzamelingsdoelen.

Hieronder staan ​​enkele andere door Mandiant gedocumenteerde hulpmiddelen vermeld:

  • OATBOAT, een loader die shellcode-payloads laadt en uitvoert
  • TOFUDRV, een kwaadaardige Windows-driver die overlapt met WINTAPIX
  • TOFULOAD, een passief implantaat dat ongedocumenteerde Input/Output Control (IOCTL)-opdrachten gebruikt voor communicatie
  • TEMPLEDROP, een aangepaste versie van een Iraans antivirusprogramma voor Windows-bestandssysteemfilters met de naam Sheed AV, dat wordt gebruikt om de bestanden die het implementeert te beschermen tegen wijzigingen
  • TEMPLELOCK, een .NET-hulpprogramma voor het omzeilen van beveiligingslekken dat de Windows Event Log-service kan uitschakelen
  • TUNNELBOI, een netwerkcontroller die een verbinding met een externe host tot stand kan brengen en RDP-verbindingen kan beheren

“Nu de spanningen in het Midden-Oosten blijven toenemen, zijn wij van mening dat de vaardigheid van deze actor om als eerste toegang te krijgen tot doelomgevingen een waardevolle troef is voor het Iraanse cyberecosysteem. Deze troef kan worden benut om te voldoen aan veranderende doelstellingen naarmate de behoeften veranderen”, aldus onderzoekers Stav Shulman, Matan Mimran, Sarah Bock en Mark Lechtik.

Iraanse APT UNC1860

Deze ontwikkeling komt nadat de Amerikaanse overheid de voortdurende pogingen van Iraanse actoren heeft onthuld om de komende Amerikaanse verkiezingen te beïnvloeden en te ondermijnen door niet-openbaar materiaal van de campagne van voormalig president Donald Trump te stelen.

“Iraanse kwaadwillende cyberactoren hebben eind juni en begin juli ongevraagde e-mails gestuurd naar personen die destijds verbonden waren aan de campagne van president Biden. Deze e-mails bevatten een fragment uit gestolen, niet-openbaar materiaal van de campagne van voormalig president Trump als tekst in de e-mails”, aldus de overheid.

“Er is momenteel geen informatie die aangeeft dat die ontvangers hebben geantwoord. Bovendien hebben kwaadaardige Iraanse cyberactoren sinds juni hun inspanningen voortgezet om gestolen, niet-openbaar materiaal in verband met de campagne van voormalig president Trump naar Amerikaanse mediaorganisaties te sturen.”

De intensivering van de cyberoperaties van Iran tegen vermeende rivalen vindt plaats op een moment dat het land steeds actiever is geworden in het Midden-Oosten.

Eind vorige maand waarschuwde het Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) dat het Iraanse APT Lemon Sandstorm (ook bekend als Fox Kitten) ransomware-aanvallen heeft uitgevoerd door heimelijk samen te werken met de groepen NoEscape, RansomHouse en BlackCat (ook bekend als ALPHV).

Uit de analyse van Censys van de aanvalsinfrastructuur van de hackersgroep zijn inmiddels andere, momenteel actieve hosts naar voren gekomen die er waarschijnlijk deel van uitmaken op basis van overeenkomsten op basis van geolocatie, Autonomous System Numbers (ASN’s) en identieke patronen van poorten en digitale certificaten.

“Ondanks pogingen tot vertroebeling, afleiding en willekeur, moeten mensen nog steeds digitale infrastructuur creëren, bedienen en buiten gebruik stellen”, aldus Matt Lembright van Censys.

“Die mensen zullen, zelfs als ze afhankelijk zijn van technologie om willekeur te creëren, bijna altijd een bepaald patroon volgen, of het nu gaat om vergelijkbare autonome systemen, geolocaties, hostingproviders, software, poortdistributies of certificaatkenmerken.”

Thijs Van der Does