Un gruppo minaccioso legato al Corpo delle Guardie Rivoluzionarie Iraniane (IGRC) sta inscenando messaggi politici e lavori tecnici fasulli per ingannare i dipendenti e compromettere i sistemi delle aziende aerospaziali e della difesa in Israele, negli Emirati Arabi Uniti e in altri paesi del Medio Oriente.

La campagna, scoperta da Mandiant di Google Cloud, sembra essere collegata al gruppo di minacce iraniano UNC1549 - noto anche come Smoke Sandstorm e Tortoiseshell - ed esegue attacchi di spear phishing e watering-hole per la raccolta di credenziali e il rilascio di malware.

Un compromesso riuscito in genere si traduce nell'installazione di un software backdoor sui sistemi interessati, solitamente un programma noto come MINIBIKE o il suo cugino più aggiornato, MINIBUS.

Tra lo spear phishing mirato all’occupazione e l’uso dell’infrastruttura cloud per il comando e controllo, l’attacco potrebbe essere difficile da rilevare, afferma Jonathan Leathery, principale analista di Mandiant di Google Cloud.

"La parte più notevole è quanto possa essere illusoria questa minaccia da scoprire e monitorare: hanno chiaramente accesso a risorse significative e sono selettivi nel prendere di mira", afferma. "Probabilmente c'è più attività da parte di questo attore che non è stata ancora scoperta, e ci sono ancora meno informazioni su come operano una volta compromesso un obiettivo."

Gruppi minacciosi iraniani hanno sempre più preso di mira le industrie sensibili per carpire segreti governativi e proprietà intellettuale. Nel 2021, Microsoft ha notato un drammatico cambiamento, ad esempio, di gruppi di operazioni informatiche legati all’Iran che si concentrano sulle società di servizi IT come un modo per balzare nelle reti dei clienti governativi. L'azienda ha rilevato le intrusioni e le ha inviate 1,647 avvisi a società di servizi informatici dopo aver individuato attori con sede in Iran che li prendevano di mira, un salto enorme rispetto a soli 48 avvisi di questo tipo inviati da Microsoft nel 2020.

Fumo e malware

Microsoft ha notato che Smoke Sandstorm – il nome del gruppo – aveva compromesso gli account di posta elettronica di un integratore IT con sede in Bahrein nel 2021, probabilmente come un modo per ottenere l’accesso ai clienti governativi dell’azienda. Microsoft ha interrotto alcune operazioni di spear phishing del gruppo Maggio 2022.

Mentre il gruppo Tortoiseshell, noto anche come UNC1549 di Google e Imperial Kitten di CrowdStrike, continua a concentrarsi sui fornitori di servizi IT, il gruppo ora adotta anche attacchi watering-hole e spear phishing come principali tattiche di infezione iniziale.

Da allora, tuttavia, il gruppo di minaccia si è riorganizzato e, a partire da febbraio 2024, prende di mira le aziende aerospaziali, dell'aviazione e della difesa in Israele e negli Emirati Arabi Uniti. Google ha dichiarato nella sua analisi. Il gruppo potrebbe anche essere collegato ad attacchi informatici contro industrie simili in Albania, India e Turchia.

"L'intelligence raccolta su queste entità è rilevante per gli interessi strategici iraniani e può essere sfruttata per lo spionaggio e per operazioni cinetiche", ha scritto Google. “Ciò è ulteriormente supportato dai potenziali legami tra l’UNC1549 e l’IRGC iraniano”.

I messaggi di spear phishing inviano collegamenti a siti Web che sembrano essere siti di lavoro – concentrandosi specificamente su posizioni legate alla tecnologia e alla difesa – o parte del movimento “Bring Them Home Now” che chiede la restituzione degli ostaggi israeliani.

La catena di attacco alla fine porta al download di una delle due backdoor uniche nel sistema della vittima. MINIBIKE è un programma C++ progettato come backdoor, che consente l'esfiltrazione o il caricamento di dati, nonché l'esecuzione di comandi. MINIBUS, la sua variante più recente, include maggiore flessibilità e “funzionalità di ricognizione migliorate”, secondo Google.

Attacchi informatici personalizzati

Sembra che il gruppo UNC1549 effettui una ricognizione e una preparazione significative prima degli attacchi, inclusa la prenotazione di nomi di dominio abbinati al gruppo preso di mira. A causa del livello di contenuti personalizzati creati per ciascuna azienda presa di mira, è difficile stimare il numero totale delle organizzazioni prese di mira, afferma Leathery.

"I dati suggeriscono che identificano obiettivi specifici [e] quindi probabilmente modellano la loro strategia attorno all'obiettivo - ad esempio, registrano domini che si riferiscono direttamente a un obiettivo specifico", afferma. "In molti casi includono contenuti esca che devono essere creati o ricercati [o] riproposti a partire da informazioni legittime disponibili al pubblico."

Mandiant di Google Cloud ha valutato l'attribuzione con un livello di confidenza “medio”, il che significa che i ricercatori della minaccia ritengono che sia molto probabile che l'attività sia stata svolta dal gruppo UNC1549.

"Pensiamo che sia molto probabile che sia stato l'UNC1549 a condurre l'esperimento, ma non ci sono prove sufficienti per escludere che avrebbe potuto essere un gruppo diverso", afferma. “Tuttavia, anche in queste circostanze improbabili, pensiamo che si tratti semplicemente di un gruppo diverso che opera a sostegno dell’ Governo iraniano. "

Attenzione ai collegamenti e-mail e ai beaconing sospetti

Nella sua analisi tecnica, Google descrive in dettaglio specifici indicatori di compromissione (IOC) per il malware MINIBIKE, incluso l'uso di quattro domini Azure per il comando e controllo, una chiave di registro OneDrive per mantenere la persistenza e comunicazioni beacon che si ripetono su tre nomi di file che imitano i componenti Web. .

Il nuovo MINIBUS, nel frattempo, è più compatto e flessibile. Google elenca una serie di nomi di file DLL che potrebbero essere in uso e avverte che il malware tenta di rilevare se è in esecuzione su una macchina virtuale e se sono in esecuzione applicazioni di sicurezza.

Con la dipendenza dell'UNC1549 dalla ricerca di obiettivi e dallo spear phishing personalizzato, secondo Google le aziende dovrebbero bloccare i collegamenti non attendibili nelle e-mail e affidarsi a corsi di sensibilizzazione per mantenere aggiornati i propri dipendenti sugli ultimi metodi di phishing.

• Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
• PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
• PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
• PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
• Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
• Fonte: https://www.darkreading.com/cyberattacks-data-breaches/illusive-iranian-hacking-group-ensnares-israeli-uae-aerospace-and-defense-firms