La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos publicó la alerta AA21-321A detallando las actividades maliciosas de un grupo APT (Advanced Persistent Threat – Amenaza Avanzada Persistente) financiado por el gobierno iraní. Este grupo toma ventaja de organizaciones robando y cifrando su información, explotando vulnerabilidades de Fortinet y Microsoft Exchange.
Según investigaciones del FBI, CISA, ACSC y NCSC, este APT ataca un gran rango de sectores de infraestructura crítica, incluyendo transporte y salud pública. Acorde a lo encontrado, el grupo busca explotar vulnerabilidades ya conocidas en lugar de sectores específicos. La finalidad de estas actividades son la exfiltración de datos, cifrado, ransomware y extorsión.
Detalles técnicos
En marzo del 2021, el FBI y la CISA observaron al APT escaneando los puertos 4443, 8443 y 10443 de FortiOS en busca de CVE-2018-13379, al mismo tiempo, enumeraba dispositivos de FortiOS con vulnerabilidades CVE-2020-12812 y CVE-2019-5591, ya que este grupo utilizó estas fallas de seguridad para obtener acceso a redes vulnerables.
En Mayo del 2021, el grupo financiado por el gobierno iraní explotó una vulnerabilidad en un equipo FortiGate para acceder a un servidor web con el hosting de un dominio gubernamental para un municipio de Estados Unidos. Las investigaciones apuntan a que el APT creó el usuario elie para ejecutar actividades maliciosas.
En Junio del 2021, el grupo utilizó las vulnerabilidades discutidas anteriormente para obtener acceso a un hospital especializado en cuidado para niños, tomando control de servidores con IPs 91.214.124[.]143 y 162.55.137[.]20 para direccionar actividad maliciosa en contra de la red del hospital.
En Octubre del 2021, el APT tomó ventaja de la vulnerabilidad de ProxyShell de Microsoft Exchange – CVE-2021-34473, para ganar acceso y continuar con sus operaciones.
Tácticas y técnicas de MITRE ATT&CK
Desarrollo de recursos (TA0042)
El grupo APT utiliza herramientas maliciosas legítimas para una variedad de tácticas a través de cada empresa.
- Mimikatz para robo de credenciales. (TA0006)
- WinPEAS para escalado e privilegios. (TA0004)
- SharpWMI (Instrumento de manejo de Windows)
- WinRAR para archivar la data recolectada (TA0009, T1560.001)
- FileZila para la transferencia de archivos (TA0010)
Acceso inicial (TA0001)
El grupo APT financiado por el gobierno Irani obtuvo acceso inicial al explotar vulnerabilidades afectando servidores de Microsoft Exchange (CVE-2021-34473) y dispositivos Fortinet (CVE-2018-13379, CVE-2020-12812, and CVE-2019-5591)
Ejecución (TA0002)
El APT hizo modificaciones al programador de tareas con las siguientes actividades:
- SynchronizeTimeZone
- GoogleChangeManagement
- MicrosoftOutLookUpdater
- MicrosoftOutLookUpdateSchedule
Persistencia (TA0003)
El grupo estableció nuevas cuentas de usuario en controladores de dominio, servidores, puestos de trabajo, y directorios activos. Algunas de estas cuentas fueron creadas para parecer legítimas, o para parecerse a cuentas similares ya existentes en la red:
- Support
- Help
- elie
- WADGUtilityAccount
Exfiltración (TA0010)
El FBI y la CISA observaron el protocolo FTP (File Transfer Protocol) con transferencias externas sobre el puerto 443.
Impacto (TA0040)
El APT forzó la activación de BitLocker en el network atacado para el cifrado de los datos. Notas amenazadoras fueron encontradas en la red de las víctimas en un archivo «.txt«, en estos se encontraron demandas de ransom con la siguiente información:
- sar_addr@protonmail[.]com
- WeAreHere@secmail[.]pro
- nosterrmann@mail[.]com
- nosterrmann@protonmail[.]com
Detección
El FBI, CISA, ACSC, y NCSC recomiendan que las organizaciones que utilizan servidores de Microsoft Exchange y dispositivos de Fortinet investiguen actividad sospechosa dentro de sus redes.
- Investigar servidores de Microsoft Exchange expuestos (parcheados o no).
- Investigar cambios al protocolo RDP, firewall y configuraciones de WinRM que puedan permitir a un atacante mantener acceso.
- Revisar los controladores de dominio, servidores, estaciones de trabajo y directorios activos por nuevos usuarios no reconocidos.
- Revisar el programador de tareas por tareas programadas no reconocidas. Adicionalmente, revisar tareas definidas por el sistema operativo por tareas programadas no reconocidas.
- Revisar indicadores en logs de antivirus luego de cambios no programados.
- Buscar archivos de WinRAR y FileZilla en lugares inusuales.
Remediaciones
- Actualizar sistemas operativos, software y firmware apenas salgan las nuevas versiones.
- Inmediatamente parchear las vulnerabilidades tratadas en el boletín.
- Revisar regularmente las listas negras y blancas.
- Respaldar datos de manera offline regularmente.
- Respaldar la data sensible de forma segura, local y segmentada.
- Segmentar redes internas para evitar movimientos laterales.
- Regularizar los permisos de los usuarios.
- Requerir solo de permisos de administrador para instalar software.
- Implementar multiple factor de autenticación.
- Utilizar claves fuertes.
- Deshabilitar o monitorear servicios RDP.
- Utilizar antivirus actualizado.
- Conectarse solo a redes seguras, evitar el uso de WiFi público.
- Usar VPN para conexiones remotas.
- Desactivar links de emails provenientes desde afuera de la organización.