Agencias de inteligencia y ciberseguridad de Estados Unidos han señalado a un grupo de piratería informática iraní por violar múltiples organizaciones en el país y coordinar con afiliados para entregar ransomware.
La actividad ha sido vinculada a un actor amenazante apodado Pioneer Kitten, también conocido como Fox Kitten, Lemon Sandstorm (anteriormente Rubidium), Parisite y UNC757, que se describió como conectado al gobierno de Irán y utiliza una empresa iraní de tecnología de la información (TI), Danesh Novin Sahand, probablemente como cobertura.
«Operaciones cibernéticas maliciosas buscan realizar ataques con ransomware para obtener y desarrollar acceso a redes«, dijeron la Agencia de Ciberseguridad e Infraestructura (CISA), Oficina Federal de Investigaciones (FBI) y el Centro de Cibercrimen del Departamento de Defensa (DC3). «Estas operaciones ayudan a los actores cibernéticos maliciosos a colaborar con actores afiliados para seguir desplegando ransomware».
Se ha informado de intrusiones en sectores de educación, finanzas, salud y defensa, así como en entidades gubernamentales locales en EE. UU., en Israel, Azerbaiyán y los Emiratos Árabes Unidos para robar datos sensibles.
El objetivo, según la evaluación de las agencias, es obtener un punto de apoyo inicial en las redes de las víctimas y colaborar con actores afiliados de ransomware asociados con NoEscape, RansomHouse y BlackCat (también conocido como ALPHV) para desplegar malware de encriptación de archivos a cambio de un porcentaje de las ganancias ilícitas.
Se cree que los intentos de ataque comenzaron en 2017 y continúan hasta la fecha. Los actores de amenaza, también conocidos por los seudónimos en línea Br0k3r y xplfinder, se ha encontrado que monetizan su acceso a organizaciones víctimas en mercados clandestinos, destacando intentos de diversificar sus fuentes de ingresos.
‘un porcentaje significativo de la actividad cibernética enfocada en EE. UU. del grupo tiene por objeto obtener y mantener el acceso técnico a redes de víctimas para permitir futuros ataques de ransomware’, señalaron las agencias.
«La participación de actores cibernéticos iraníes en estos ataques de ransomware va más allá de proporcionar acceso; colaboran estrechamente con afiliados de ransomware para bloquear redes de víctimas y planificar enfoques para extorsionar a las víctimas»
El acceso inicial se logra aprovechando servicios remotos externos en activos expuestos a Internet que son vulnerables a fallas previamente divulgadas (CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 y CVE-2024-24919), seguido de una serie de pasos para persistir, escalar privilegios y configurar acceso remoto a través de herramientas como AnyDesk o la herramienta de túneles de código abierto Ligolo.
Las operaciones de ransomware respaldadas por el estado iraní no son un fenómeno nuevo. En diciembre de 2020, las empresas de ciberseguridad Check Point y ClearSky detallaron una campaña de hackeo y filtrado de Pioneer Kitten llamada Pay2Key que atacó específicamente docenas de empresas israelíes explotando vulnerabilidades de seguridad conocidas.
También se dice que algunos de los ataques de ransomware se llevaron a cabo a través de una empresa de contratación iraní llamada Emennet Pasargad, según documentos filtrados por Lab Dookhtegan a principios de 2021.
La divulgación pinta el retrato de un grupo flexible que opera con motivos de ransomware y ciberespionaje, uniéndose a otros grupos de piratería de doble propósito como ChamelGang y Moonstone Sleet.
Peach Sandstorm entrega malware Tickler en una campaña de larga duración
Este desarrollo se da mientras que Microsoft dijo que observó que el actor de amenazas patrocinado por el estado de Irán, Peach Sandstorm (también conocido como APT33, Curious Serpens, Elfin y Refined Kitten) desplegó un nuevo backdoor personalizado de múltiples etapas llamado Tickler en ataques contra objetivos en los sectores de satélite, equipos de comunicaciones, petróleo y gas, así como en los sectores gubernamentales federales y estatales en EE. UU. y Emiratos Árabes Unidos entre abril y julio de 2024.
«Peach Sandstorm también continuó llevando a cabo ataques de rociado de contraseñas contra el sector educativo para la adquisición de infraestructura y contra los sectores de satélites, gobierno y defensa como objetivos principales para la recolección de inteligencia», dijo el equipo de Inteligencia de Amenazas de Microsoft, añadiendo que detectaron la recolección de inteligencia y posibles ataques de ingeniería social dirigidos a la educación superior, satélites y sectores de defensa a través de LinkedIn.
Los ataques de rociado de contraseñas sirven como conducto para el backdoor de múltiples etapas personalizado Tickler, que cuenta con capacidades para descargar cargas adicionales desde una infraestructura de Microsoft Azure controlada por el adversario, realizar operaciones de archivos y recolectar información del sistema.
Algunos de los ataques son notables por aprovechar instantáneas de Active Directory (AD) para acciones administrativas maliciosas, Server Message Block (SMB) para movimientos laterales y el software de acceso remoto y monitoreo AnyDesk para acceso remoto persistente.
La comodidad y utilidad de una herramienta como AnyDesk se amplifica por el hecho de que podría estar permitida por controles de aplicaciones en entornos donde es utilizada legítimamente por personal de soporte de TI o administradores de sistemas, explicó Microsoft.
Se evalúa que Peach Sandstorm opera en nombre de los Cuerpos de la Guardia Revolucionaria Islámica (IRGC) de Irán.
Se sabe que ha estado activo durante más de una década, llevando a cabo ataques de espionaje contra una amplia gama de objetivos del sector público y privado a nivel global.
Las intrusiones recientes dirigidas al sector de la defensa también han desplegado otro backdoor llamado FalseFont.
Operación de contraterrorismo iraní utiliza señuelos de recursos humanos para recolectar inteligencia
En lo que es evidencia de operaciones iraníes en expansión en el ciberespacio, Mandiant de propiedad de Google, dijo que descubrió un presunto esfuerzo de contraterrorismo de tipo iraní que tiene por objeto recolectar datos sobre iraníes y amenazas internas que puedan estar colaborando con sus adversarios percibidos, incluyendo a Israel.
Los datos recolectados pueden ser utilizados para descubrir operaciones de inteligencia humana (HUMINT) realizadas contra Irán y para perseguir a iraníes sospechosos de estar involucrados en estas operaciones. Estos pueden incluir disidentes iraníes, activistas, defensores de los derechos humanos y personas que hablan farsi.
Vía The Hacker News
