Un APT iraniano di tipo statale è stato scoperto nel distribuire due nuovi malware mirati che vengono con “semplici” funzionalità di backdoor come parte di un’intrusione contro un ente governativo del Medio Oriente senza nome nel novembre 2021.
La società di cybersicurezza Mandiant ha attribuito l’attacco a un cluster non classificato che sta monitorando sotto il moniker UNC3313, che valuta con “fiducia moderata” come associato al gruppo sponsorizzato dallo stato MuddyWater.
“UNC3313 conduce la sorveglianza e raccoglie informazioni strategiche per sostenere gli interessi iraniani e il processo decisionale“, hanno detto i ricercatori Ryan Tomcik, Emiel Haeghebaert e Tufail Ahmed. “I modelli di targeting e le relative esche dimostrano una forte attenzione agli obiettivi con un nesso geopolitico“.
A metà gennaio 2022, le agenzie di intelligence statunitensi hanno caratterizzato MuddyWater come un elemento subordinato del Ministero dell’Intelligence e della Sicurezza iraniano (MOIS) che è stato attivo almeno dal 2018 ed è noto per utilizzare una vasta gamma di strumenti e tecniche nelle sue operazioni.
Si dice che gli attacchi siano stati orchestrati tramite messaggi di spear-phishing per ottenere l’accesso iniziale, seguiti dall’utilizzo di strumenti di sicurezza offensivi pubblicamente disponibili e software di accesso remoto per il movimento laterale e il mantenimento dell’accesso all’ambiente.
Le e-mail di phishing sono state elaborate con un’esca di promozione del lavoro e hanno ingannato più vittime a fare clic su un URL per scaricare un file di archivio RAR ospitato su OneHub, che ha aperto la strada per l’installazione di ScreenConnect, un software di accesso remoto legittimo, per ottenere un punto d’appoggio.
“UNC3313 si è mosso rapidamente per stabilire l’accesso remoto utilizzando ScreenConnect per infiltrarsi nei sistemi entro un’ora dalla compromissione iniziale”, hanno notato i ricercatori, aggiungendo che l’incidente di sicurezza è stato rapidamente contenuto e rimediato.
Le fasi successive dell’attacco hanno coinvolto l’escalation dei privilegi, effettuando la ricognizione interna sulla rete mirata ed eseguendo comandi PowerShell offuscati per scaricare ulteriori strumenti e carichi utili sui sistemi remoti.
È stata anche osservata una backdoor precedentemente non documentata chiamata STARWHALE, un Windows Script File (.WSF) che esegue comandi ricevuti da un server di comando e controllo (C2) via HTTP.
Un altro impianto consegnato nel corso dell’attacco è GRAMDOOR, così chiamato per il suo uso dell’API di Telegram per le sue comunicazioni di rete con il server controllato dall’attaccante nel tentativo di eludere il rilevamento, evidenziando ancora una volta l’uso di strumenti di comunicazione per facilitare l’esfiltrazione dei dati.
I risultati coincidono anche con un nuovo avviso congiunto delle agenzie di cybersicurezza del Regno Unito e degli Stati Uniti, che accusano il gruppo MuddyWater di attacchi di spionaggio contro la difesa, il governo locale, il petrolio e il gas naturale e i settori delle telecomunicazioni in tutto il mondo.
