Las agencias cibernéticas australianas, estadounidenses y británicas han advertido de una campaña de “actividad cibernética maliciosa en curso” por parte de un grupo iraní de amenazas persistentes avanzadas (APT) que explota vulnerabilidades conocidas en los productos de Fortinet y Microsoft para realizar ataques de ransomware.
El grupo patrocinado por el gobierno parece atacar de forma algo indiscriminada y parece estar muy centrado en explotar un conjunto básico de errores conocidos, en lugar de apuntar a sectores específicos, aunque se ha visto apuntando a víctimas en aspectos críticos como el transporte y la atención médica.
Las actividades del grupo parecen remontarse a marzo de 2021, cuando el FBI de EE. UU. Y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) observaron que el grupo escaneaba dispositivos vulnerables a CVE-2018-13379 y enumeraba dispositivos para otras dos vulnerabilidades, CVE-2020. -12812 y CVE-2019-5591, los tres en el sistema operativo Fortinet FortiOS.
Tenga en cuenta que los tres errores de Fortinet fueron objeto de una advertencia similar en ese momento, y la explotación de CVE-2018-37779, una vulnerabilidad de recorrido de ruta, también se ha relacionado con el ransomware Cring.
Dos meses después, se vio al grupo explotando un dispositivo Fortigate vulnerable para atacar a una autoridad del gobierno local en los EE. UU., Y en junio realizó un ataque similar para acceder a las redes de control ambiental que pertenecen a un hospital infantil con sede en EE. UU.
Según el aviso, a partir de octubre, el grupo ha dirigido su atención a una vulnerabilidad de Microsoft Exchange ProxyShell, CVE-2021-34473, que fue objeto de un proceso de divulgación fallido en agosto.
Después de obtener acceso a las redes de sus víctimas, sus actividades de seguimiento incluyen la exfiltración de datos, el cifrado y la extorsión mediante BitLocker, una función legítima de cifrado de volumen completo que se puede utilizar con fines maliciosos como el ransomware.
Los defensores deben estar atentos al uso de varias herramientas maliciosas y legítimas por parte del grupo, incluidas las de Mimikatz para el robo de credenciales, WinPEAS para la escalada de privilegios, WinRAR para archivar datos y FileZilla para la transferencia de archivos.
También se ha visto que el grupo realiza modificaciones en el Programador de tareas que pueden mostrarse como tareas o acciones programadas no reconocidas, y establece nuevas cuentas de usuario en controladores de dominio, servidores, estaciones de trabajo y directorios activos, muchos de los cuales pueden parecer similares al espectador casual. a las cuentas legítimas de la víctima.
El aviso completo, incluidos los indicadores específicos de compromiso (IoC) y los consejos de mitigación, se pueden leer aquí.
Según los investigadores de amenazas de Microsoft, hay varios grupos de APT iraníes que actualmente implementan ransomware y llevan a cabo una serie de ataques en oleadas que se lanzan cada seis a ocho semanas.
En una investigación publicada junto con CyberWarCon, Microsoft detalló la actividad de un grupo al que rastrea como Phosphorus, que se sabe que ha estado escaneando ampliamente en busca de dispositivos vulnerables a CVE-2018-13379 aproximadamente al mismo tiempo que la actividad observada por el FBI / CISA. También está interesado en utilizar BitLocker para actividades de cifrado y extorsión.
El grupo Phosphorus APT también se distingue por sus tácticas de ingeniería social, al llevar a cabo conversaciones de ida y vuelta con sus objetivos previstos que al principio parecen ser un enfoque benigno de un reclutador, invitando a las víctimas a probar un enlace de reunión de Google contaminado, pero cada vez son más molestos. y agresivo si no se hace clic en el enlace.