Asesoría

Actores de amenaza APT patrocinados por el gobierno Iraní explotan vulnerabilidades de Microsoft Exchange y Fortinet

El FBI, CISA, ACSC y NCSC, alertan sobre actividades maliciosas de actores de amenaza patrocinadas pro el gobierno Iraní, para la explotación de vulnerabilidades de Microsoft y Fortinet, con el objetivo de desplegar actividades maliciosas.

La actividad cibernética maliciosa en curso por parte de un grupo de amenazas persistentes avanzadas (APT), se evaluada y su relacion con el gobierno de Irán. El FBI y CISA han observado que este grupo de APT, explota las vulnerabilidades de Fortinet desde al menos marzo de 2021 y una vulnerabilidad de Microsoft Exchange ProxyShell desde al menos octubre de 2021 para obtener acceso inicial a los sistemas antes de las operaciones de seguimiento, que incluyen la implementación de ransomware. ACSC también es consciente de que este grupo de APT ha utilizado la misma vulnerabilidad de Microsoft Exchange en Australia.

Los actores de APT están apuntando activamente a una amplia gama de víctimas en múltiples sectores de infraestructura crítica de EE. UU., Incluido el Sector de Transporte y el Sector de Salud y Salud Pública, así como organizaciones australianas. El FBI, CISA, ACSC y NCSC evalúan que los actores se centran en explotar vulnerabilidades conocidas en lugar de apuntar a sectores específicos. Estos actores de APT patrocinados por el gobierno iraní pueden aprovechar este acceso para operaciones de seguimiento, como exfiltración o cifrado de datos, ransomware y extorsión.

Este aviso proporciona tácticas y técnicas observadas, así como indicadores de compromiso (IOC) que el FBI, CISA, ACSC y NCSC evalúan probablemente estén asociados con esta actividad APT patrocinada por el gobierno iraní.

El FBI, CISA, ACSC y NCSC instan a las organizaciones de infraestructura crítica a aplicar las recomendaciones enumeradas en la sección de Mitigaciones de este aviso para mitigar el riesgo de compromiso por parte de los ciber actores patrocinados por el gobierno iraní.

Tácticas y técnicas de MITRE ATT & CK

El FBI, CISA, ACSC y NCSC evalúan las siguientes tácticas y técnicas asociadas con esta actividad.

Desarrollo de recursos [TA0042]
Los actores de APT han utilizado las siguientes herramientas legítimas y maliciosas [T1588.001, T1588.002] para una variedad de tácticas en todo el espectro empresarial.

– Mimikatz por robo de credenciales [TA0006]
– WinPEAS para escalada de privilegios [TA0004]
– SharpWMI (Instrumental de administración de Windows)
– WinRAR para archivar datos recopilados [TA0009, T1560.001]
– FileZilla para transferir archivos [TA0010]

Acceso inicial [TA0001]

Los actores de APT patrocinados por el gobierno iraní obtuvieron acceso inicial mediante la explotación de vulnerabilidades que afectan a los servidores Microsoft Exchange (CVE-2021-34473) y los dispositivos Fortinet (CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591) [T1190].

Ejecución [TA0002]

Los actores de APT patrocinados por el gobierno iraní pueden haber realizado modificaciones en el Programador de tareas [T1053.005]. Estas modificaciones pueden mostrarse como tareas o acciones programadas no reconocidas. Específicamente, las tareas establecidas a continuación pueden estar asociadas con esta actividad:

– SynchronizeTimeZone
– Gestión de cambios de Google
– MicrosoftOutLookUpdater
– MicrosoftOutLookUpdateSchedule

Persistencia [TA0003]

Los actores de APT patrocinados por el gobierno iraní pueden haber establecido nuevas cuentas de usuario en controladores de dominio, servidores, estaciones de trabajo y directorios activos [T1136.001, T1136.002]. Algunas de estas cuentas parecen haber sido creadas para tener un aspecto similar a otras cuentas existentes en la red, por lo que los nombres de cuentas específicas pueden variar según la organización. Además de las cuentas de usuario no reconocidas o las cuentas establecidas para hacerse pasar por cuentas existentes, los siguientes nombres de usuario de cuenta pueden estar asociados con esta actividad.

– Support
– Help
– elite
– WADGUtilityAccount

Exfiltración [TA0010]

El FBI y CISA observaron transferencias salientes del Protocolo de transferencia de archivos (FTP) a través del puerto 443.

Impacto [TA0040]

Los actores de APT forzaron la activación de BitLocker en las redes de host para cifrar los datos [T1486]. Las notas amenazantes correspondientes se enviaron a la víctima o se dejaron en la red de la víctima como un archivo .txt. Las notas de rescate incluían demandas de rescate y la siguiente información de contacto.


– sar_addr @ protonmail [.] com
– WeAreHere @ secmail [.] Pro
– nosterrmann @ mail [.] com
– nosterrmann @ protonmail [.] com

Mitigaciones

El FBI, CISA, ACSC y NCSC instan a los defensores de la red a aplicar las siguientes mitigaciones para reducir el riesgo de compromiso por esta amenaza.

– Sistemas de parches y actualizaciones
– Instale actualizaciones / parches de sistemas operativos, software y firmware tan pronto como se publiquen las actualizaciones / parches.
– Parche inmediatamente el software afectado por las vulnerabilidades identificadas en este aviso: CVE-2021-34473, CVE-2018-13379, CVE-2020-12812 y CVE-2019-5591.
– Evaluar y actualizar listas de bloqueo y listas de permitidos
– Evalúe y actualice regularmente las listas de bloqueo y las listas de permitidos.
– Si su organización no utiliza FortiOS, agregue los archivos de artefactos clave utilizados por FortiOS a la lista de
 bloqueo de ejecución de su organización. Debe evitarse cualquier intento de instalar o ejecutar este programa y sus archivos asociados.
– Implementar y hacer cumplir las políticas y procedimientos de copia de seguridad y restauración
– Asegúrese de que no se pueda acceder a copias de datos críticos para su modificación o eliminación del sistema donde residen los datos.
– Implementar un plan de recuperación para mantener y retener múltiples copias de servidores y datos confidenciales o patentados en una ubicación segura, segmentada y físicamente separada (por ejemplo, disco duro, dispositivo de almacenamiento, la nube).
– Implementar la segmentación de la red para restringir el movimiento lateral del adversario.
– Privilegio mínimo y separación de funciones.
– Implementar la autenticación multifactor
– Si usa RDP, restríjalo para limitar el acceso a los recursos a través de redes internas.
– Utilice programas anti virus-malware
– Reducir el riesgo de phishing

Indicadores de compromiso (IOCs)

Direcciones IP:

I91.214.124[.]143 
162.55.137[.]20 
154.16.192[.]70

Artefactos o archivos ejecutables

Filename:

MicrosoftOutLookUpdater[.]exe

MD5:

1444884faed804667d8c2bfa0d63ab13

SHA-1:

95E045446EFB8C9983EBFD85E39B4BE5D92C7A2A

SHA-256:

c51fe5073bd493c7e8d83365aace3f9911437a0f2ae80042ba01ea46b55d2624

SHA-512:

6451077B99C5F8ECC5C0CA88FE272156296BEB91218B39AE28A086DBA5E7E39813F044F9AF0FEDBB260941B1CD52FA237C098CBF4B2A822F08E3E98E934D0ECF

Filename:

MicrosoftOutlookUpdater.bat

MD5:

1A44368EB5BF68688BA4B4357BDC874F

SHA-1:

FA36FEBFD5A5CA0B3A1B19005B952683A7188A13

SHA-256:

3A08D0CB0FF4D95ED0896F22F4DA8755525C243C457BA6273E08453E0E3AC4C4

SHA-512:

70AA89449EB5DA1D84B70D114EF9D24CB74751CE12D12C783251E51775C89FDCE61B4265B43B1D613114D6A85E9C75927B706F39C576DBB036079C7E8CAF28B2

Filename:

MicrosoftOutlookUpdater.xml

MD5:

AA40C49E309959FA04B7E5AC111BB770

SHA-1:

F1D90E10E6E3654654E0A677763C9767C913F8F0

SHA-256:

5C818FE43F05F4773AD20E0862280B0D5C66611BB12459A08442F55F148400A6

SHA-512:

E55A86159F2E869DCDB64FDC730DA893718E20D65A04071770BD32CAE75FF8C34704BDF9F72EF055A3B362759EDE3682B3883C4D9BCF87013076638664E8078E

Filename:

GoogleChangeManagement.xml

MD5:

AF2D86042602CBBDCC7F1E8EFA6423F9

SHA-1:

CDCD97F946B78831A9B88B0A5CD785288DC603C1

SHA-256:

4C691CCD811B868D1934B4B8E9ED6D5DB85EF35504F85D860E8FD84C547EBF1D

SHA-512:

6473DAC67B75194DEEAEF37103BBA17936F6C16FFCD2A7345A5A46756996FAD748A97F36F8FD4BE4E1F264ECE313773CC5596099D68E71344D8135F50E5D8971

Filename:

Connector3.exe

MD5:

e64064f76e59dea46a0768993697ef2f

Filename:

Audio.exe or frpc.exe

MD5:

b90f05b5e705e0b0cb47f51b985f84db

SHA-1:

5bd0690247dc1e446916800af169270f100d089b

SHA-256:

28332bdbfaeb8333dad5ada3c10819a1a015db9106d5e8a74beaaf03797511aa

Vhash:

017067555d5d15541az28!z

Authentihash:

ed463da90504f3adb43ab82044cddab8922ba029511da9ad5a52b8c20bda65ee

Imphash:

93a138801d9601e4c36e6274c8b9d111

SSDEEP:

98304:MeOuFco2Aate8mjOaFEKC8KZ1F4ANWyJXf/X+g4:MeHFV2AatevjOaDC8KZ1xNWy93U93a138801d9601e4c36e6274c8b9d111

Note:

Identical to “frpc.exe” available at:https://github[.]com/fatedier/frp/releases/download/v0.34.3/frp_0.34.3_windows_amd64.zip

Filename:

Frps.exe

MD5:

26f330dadcdd717ef575aa5bfcdbe76a

SHA-1:

c4160aa55d092cf916a98f3b3ee8b940f2755053

SHA-256:

d7982ffe09f947e5b4237c9477af73a034114af03968e3c4ce462a029f072a5a

Vhash:

017057555d6d141az25!z

Authentihash:

40ed1568fef4c5f9d03c370b2b9b06a3d0bd32caca1850f509223b3cee2225ea

Imphash:

91802a615b3a5c4bcc05bc5f66a5b219

SSDEEP:

196608:/qTLyGAlLrOt8enYfrhkhBnfY0NIPvoOQiE:GLHiLrSfY5voO

Note:

Identical to “frps.exe” available at: https://github[.]com/fatedier/frp/releases/download/v0.33.0/frp_0.33.0_windows_amd64.zip

Referencia: https://us-cert.cisa.gov/ncas/alerts/aa21-321a

Picture of ciber seguro

ciber seguro

× ¿Cómo podemos ayudarte?