ممثل التهديد الإيراني يوفر وصولاً عن بعد إلى الشبكات المستهدفة
يعمل الآن ممثل التهديد الإيراني المتقدم (APT) التابع لوزارة الاستخبارات والأمن (MOIS) كميسر وصول أولي يوفر الوصول عن بعد إلى الشبكات المستهدفة.
يعمل الآن ممثل التهديد الإيراني المتقدم (APT) التابع لوزارة الاستخبارات والأمن (MOIS) كميسر وصول أولي يوفر الوصول عن بعد إلى الشبكات المستهدفة.
تقوم شركة Mandiant المملوكة لشركة Google بتتبع مجموعة الأنشطة تحت اللقب UNC1860، والتي قالت إنها تشترك في أوجه التشابه مع مجموعات التطفل التي تتبعها Microsoft وCisco Talos وCheck Point مثل Storm-0861 (DEV-0861 سابقًا)، وShroudedSnooper، وScarred Manticore، على التوالي.
“إحدى السمات الرئيسية لـ UNC1860 هي مجموعتها من الأدوات المتخصصة والأبواب الخلفية السلبية التي (…) تدعم العديد من الأهداف، بما في ذلك دورها كمزود وصول أولي محتمل وقدرتها على الوصول المستمر إلى الشبكات ذات الأولوية العالية، مثل تلك الشبكات في القطاع الحكومي والاتصالات في جميع أنحاء الشرق الأوسط”. قال.
ظهرت المجموعة لأول مرة في يوليو 2022 فيما يتعلق بهجمات إلكترونية مدمرة استهدفت ألبانيا باستخدام سلالة من برامج الفدية تسمى ROADSWEEP، والباب الخلفي CHIMNEYSWEEP، ومتغير ممسحة ZEROCLEAR (المعروف أيضًا باسم Cl Wiper)، مع عمليات اختراق لاحقة في ألبانيا وإسرائيل استفادت من ممسحات جديدة يطلق عليها اسم “لا عدالة” و”بيبي” (ويُعرف أيضًا باسم “BABYWIPER”).
ووصف مانديانت UNC1860 بأنه “ممثل تهديد هائل” يحتفظ بترسانة من الأبواب الخلفية السلبية المصممة للحصول على موطئ قدم في شبكات الضحايا وإنشاء وصول طويل المدى دون جذب الانتباه.
ومن بين هذه الأدوات، هناك وحدتا تحكم في البرامج الضارة يتم تشغيلهما بواسطة واجهة المستخدم الرسومية، ويتم تتبعهما باسم TEMPLEPLAY وVIROGREEN، والتي يُقال إنها توفر للجهات الفاعلة الأخرى المرتبطة بـ MOIS إمكانية الوصول عن بعد إلى بيئات الضحايا باستخدام بروتوكول سطح المكتب البعيد (RDP).
على وجه التحديد، تم تصميم وحدات التحكم هذه لتزويد مشغلي الطرف الثالث بواجهة تقدم إرشادات حول الطرق التي يمكن بها نشر الحمولات المخصصة وتنفيذ أنشطة ما بعد الاستغلال مثل المسح الداخلي داخل الشبكة المستهدفة.
وقالت شركة Mandiant إنها حددت التداخلات بين UNC1860 وAPT34 (المعروفة أيضًا باسم Hazel Sandstorm وHelix Kitten وOilRig) حيث أن المنظمات التي تعرضت للاختراق بواسطة الأخيرة في عامي 2019 و2020 قد تم اختراقها سابقًا بواسطة UNC1860، والعكس صحيح. علاوة على ذلك، فقد لوحظ أن كلتا المجموعتين تتمحوران حول أهداف متمركزة في العراق، كما أبرزت Check Point مؤخرًا.
تتضمن سلاسل الهجوم الاستفادة من الوصول الأولي المكتسب من خلال الاستغلال الانتهازي للخوادم الضعيفة التي تواجه الإنترنت لإسقاط أغطية الويب والأدوات المحذوفة مثل STAYSHANTE وSASHEYAWAY، حيث يؤدي الأخير إلى تنفيذ عمليات الزرع، مثل TEMPLEDOOR وFACEFACE وSPARKLOAD، المضمنة داخله.
“VIROGREEN هو إطار عمل مخصص يستخدم لاستغلال خوادم SharePoint الضعيفة CVE-2019-0604وقال الباحثون، مضيفين أنه يتحكم في STAYSHANTE، إلى جانب باب خلفي يشار إليه باسم BASEWALK.
“يوفر الإطار إمكانات ما بعد الاستغلال بما في ذلك (…) التحكم في حمولات ما بعد الاستغلال، والأبواب الخلفية (بما في ذلك هيكل الويب STAYSHANTE والباب الخلفي BASEWALK) وإسناد المهام؛ والتحكم في وكيل متوافق بغض النظر عن كيفية زرع الوكيل؛ والتنفيذ الأوامر وتحميل/تنزيل الملفات.
تعمل TEMPLEPLAY (المسمى داخليًا Client Http)، من جانبها، كوحدة تحكم مستندة إلى .NET لـ TEMPLEDOOR. وهو يدعم تعليمات الباب الخلفي لتنفيذ الأوامر عبر cmd.exe، وتحميل/تنزيل الملفات من وإلى المضيف المصاب، واتصال الوكيل بالخادم المستهدف.
من المعتقد أن الخصم يمتلك مجموعة متنوعة من الأدوات السلبية والأبواب الخلفية للمنصة الرئيسية التي تتوافق مع وصوله الأولي وحركته الجانبية وأهداف جمع المعلومات.
بعض الأدوات الأخرى الموثقة بواسطة Mandiant مذكورة أدناه –
- OATBOAT، أداة تحميل تقوم بتحميل وتنفيذ حمولات كود القشرة
- TOFUDRV، برنامج تشغيل Windows ضار يتداخل مع WINTAPIX
- TOFULOAD، عبارة عن غرسة سلبية تستخدم أوامر التحكم في الإدخال/الإخراج (IOCTL) غير الموثقة للاتصال
- TEMPLEDROP، نسخة مُعاد استخدامها من برنامج تشغيل عامل تصفية نظام ملفات Windows الإيراني لبرنامج مكافحة الفيروسات الذي يُسمى Sheed AV والذي يُستخدم لحماية الملفات التي ينشرها من التعديل
- TEMPLELOCK، أداة مساعدة للتهرب من الدفاع .NET قادرة على إيقاف خدمة سجل أحداث Windows
- TUNNELBOI، وحدة تحكم شبكة قادرة على إنشاء اتصال مع مضيف بعيد وإدارة اتصالات RDP
وقال الباحثون ستاف شولمان: “مع استمرار التوترات في المد والجزر في الشرق الأوسط، نعتقد أن مهارة هذا الممثل في الوصول الأولي إلى البيئات المستهدفة تمثل رصيدا قيما للنظام البيئي السيبراني الإيراني الذي يمكن استغلاله للرد على الأهداف المتطورة مع تغير الاحتياجات”. “، قال ماتان ميمران، وسارة بوك، ومارك ليشتيك.
ويأتي هذا التطور في الوقت الذي كشفت فيه الحكومة الأمريكية عن محاولات جهات التهديد الإيرانية المستمرة للتأثير على الانتخابات الأمريكية المقبلة وتقويضها من خلال سرقة مواد غير عامة من حملة الرئيس السابق دونالد ترامب.
وقالت الحكومة: “أرسلت الجهات الفاعلة السيبرانية الخبيثة الإيرانية في أواخر يونيو وأوائل يوليو رسائل بريد إلكتروني غير مرغوب فيها إلى أفراد مرتبطين بحملة الرئيس بايدن والتي تحتوي على مقتطف مأخوذ من مواد مسروقة وغير عامة من حملة الرئيس السابق ترامب كنص في رسائل البريد الإلكتروني”. قال.
“لا توجد حاليًا أي معلومات تشير إلى أن هؤلاء المستلمين قد ردوا. علاوة على ذلك، واصلت الجهات الفاعلة السيبرانية الخبيثة الإيرانية جهودها منذ يونيو لإرسال مواد مسروقة وغير عامة مرتبطة بحملة الرئيس السابق ترامب إلى المؤسسات الإعلامية الأمريكية”.
ويأتي تكثيف إيران لعملياتها السيبرانية ضد منافسيها المفترضين أيضًا في وقت أصبحت فيه البلاد نشطة بشكل متزايد في منطقة الشرق الأوسط.
في أواخر الشهر الماضي، حذرت وكالة الأمن السيبراني وأمن البنية التحتية الأمريكية (CISA) من أن APT Lemon Sandstorm (المعروفة أيضًا باسم Fox Kitten) الإيرانية قد نفذت هجمات برامج الفدية من خلال الشراكة السرية مع أطقم NoEscape وRansomHouse وBlackCat (المعروفة أيضًا باسم ALPHV).
كشف تحليل Censys للبنية التحتية الهجومية لمجموعة القرصنة منذ ذلك الحين عن مضيفين آخرين نشطين حاليًا والذين من المحتمل أن يكونوا جزءًا منها استنادًا إلى القواسم المشتركة القائمة على تحديد الموقع الجغرافي وأرقام النظام الذاتي (ASNs) وأنماط متطابقة من المنافذ والشهادات الرقمية.
“على الرغم من محاولات التشويش والتحويل والعشوائية، لا يزال يتعين على البشر إنشاء البنية التحتية الرقمية وتشغيلها وإيقاف تشغيلها،” مات ليمبرايت من شركة Censys قال.
“هؤلاء البشر، حتى لو اعتمدوا على التكنولوجيا لإنشاء التوزيع العشوائي، سيتبعون دائمًا نوعًا من النمط سواء كان ذلك أنظمة ذاتية مماثلة، أو مواقع جغرافية، أو موفري استضافة، أو برامج، أو توزيعات للمنافذ، أو خصائص الشهادات.”