Análise da Atividade do APT34 e suas Implicações de Segurança

Um ator de ameaças iraniano tem intensificado suas atividades de espionagem contra entidades governamentais de estados do Golfo, particularmente nos Emirados Árabes Unidos (EAU). A APT34 (também conhecida como Earth Simnavaz, OilRig, MuddyWater, Crambus, Europium, Hazel Sandstorm) é um grupo que tem ligações anteriores com o Ministério da Inteligência e Segurança do Irã (MOIS) e é reconhecido por sua atuação contra alvos de alto valor em diversas indústrias da região do Oriente Médio, incluindo petróleo e gás, finanças, produtos químicos, telecomunicações, outras formas de infraestrutura crítica e governos.

As operações da APT34 têm demonstrado uma sofisticação adequada aos seus alvos, utilizando pacotes de malware personalizados e a capacidade de evadir a detecção por longos períodos de tempo. Recentemente, a Trend Micro observou um aumento notável na espionagem do APT34 e no roubo de informações sensíveis de agências governamentais, principalmente nos EAU. Esses novos ataques incluem um backdoor denominado “StealHook”, que utiliza servidores Microsoft Exchange para exfiltrar credenciais úteis para escalar privilégios e realizar ataques subsequentes à cadeia de suprimentos.

Atividade Recente da APT34

Os ataques mais recentes do APT34 iniciaram-se com a implementação de Web shells em servidores web vulneráveis. Essas Web shells permitem que os hackers executem códigos PowerShell e baixem ou enviem arquivos do ou para o servidor comprometido. Um exemplo de ferramenta que o grupo baixa é o ngrok, um software legítimo de proxy reverso usado para criar túneis seguros entre máquinas locais e a rede pública. O APT34 arma o ngrok como um meio de comando e controle (C2) que através de túneis penetra firewalls e outras barreiras de segurança da rede, facilitando sua entrada no Controlador de Domínio de uma rede.

“Uma das feats mais impressionantes que observamos do APT34 é sua habilidade em criar e ajustar canais de exfiltração discretos que permitem que roubem dados de redes sensíveis de alto perfil,” nota Sergey Shykevich, gerente do grupo de inteligência em ameaças da Check Point Research.

Em campanhas anteriores, o grupo utilizou principalmente a comunicação C2 segura através de DNS tunneling e contas de e-mail comprometidas. Para obter privilégios maiores em máquinas infectadas, a APT34 tem explorado a vulnerabilidade CVE-2024-30088, identificada por meio da Iniciativa de Dia Zero da Trend Micro, que foi corrigida em junho. Essa vulnerabilidade permite que atacantes ganhem privilégios de nível de sistema em diferentes versões do Windows, recebendo uma pontuação de “alta” severidade (7 de 10) no Sistema Comum de Pontuação de Vulnerabilidade (CVSS).

Um dos métodos mais intrigantes da APT34 é como ele abusa dos filtros de senha do Windows. A organização pode implementar políticas personalizadas de segurança de senhas para garantir uma boa higiene entre os usuários. A APT34 insere uma DLL maliciosa no diretório do sistema do Windows, registrando-a como um filtro de senha legítimo, permitindo que ele intercepte alterações de senhas dos usuários em texto plano.

Para completar a sua sequência de ataque, a APT34 utiliza o backdoor mais recente, StealHook, que recupera credenciais de domínio permitindo o acesso aos servidores Microsoft Exchange da organização alvo. Com os servidores e contas de e-mail roubadas, o backdoor pode exfiltrar dados sensíveis governamentais por meio de anexos de e-mail.

Riscos Adicionais dos Ataques da APT34

O uso de Exchange para exfiltração de dados e C&C é, segundo Mohamed Fahmy, pesquisador de inteligência em ameaças cibernéticas da Trend Micro, uma técnica muito eficaz e difícil de detectar, que tem sido utilizada há anos, como em seu backdoor Karkoff.

Além de exfiltrar credenciais de contas e outros dados governamentais sensíveis, a APT34 também tem mostrado a capacidade de aproveitar o nível de acesso em uma organização para realizar ataques subsequentes contra outras associadas a ela. Fahmy destaca que o ator de ameaças “compromete totalmente uma organização específica e, em seguida, usa seus servidores para iniciar um novo ataque contra outra organização (tendo um relacionamento de confiança com a infectada), utilizando o Exchange para enviar e-mails de phishing.”

As agências governamentais frequentemente têm relações estreitas entre si, colocando-as em risco de comprometimento dessa confiança.

#APT34 #Cibersegurança #Espionagem #Iran #EmiradosÁrabes #Malware #ThreatIntelligence #Vulnerabilidades #StealHook

Fonte:https://www.darkreading.com/cyberattacks-data-breaches/iran-apt34-ms-exchange-spy-gulf-govts